Хакери розсилають українцям «повістки в суд» з домену UKR.NET

Команда реагування на кіберзагрози CERT-UA виявила низку хакерських атак, здійснених угрупуванням UAC-0099, метою яких є громадяни України, що працюють в органах державної влади, Силах оборони та підприємствах оборонного комплексу. Для цього використовується e-mail розсилка з використанням домену UKR.NET.

Тема електронного листа вказана як «Судова повістка про виклик в суд». У тексті повідомлення, щоб приспати увагу отримувача, додано назву районного суду та «номер судової справи в кримінальному провадженні». 

У листі міститься посилання на архів, розміщений на відомому файловому сервісі. Однак якщо завантажити та відкрити цей архів з файлом HTML-додатку (HTA), то на пристрої жертви запускається додатково обфускований VBScript. У свою чергу, цей скрипт створює заплановане завдання для збереження та зрештою запускає завантажувач під назвою MATCHBOIL — програму, написану на C# та призначену для встановлення додаткового шкідливого програмного забезпечення на хост.

Далі MATCHBOIL встановлює на комп’ютер бекдор під назвою MATCHWOK та програму-викрадач DRAGSTARE. Остання призначена для збору системної інформації, даних з веббраузерів, файлів документів з розширенням “.docx”, “.doc”, “.xls”, “.txt”, “.ovpn”, “.rdp”, “.txt” та “.pdf” з папок “Робочий стіл”, “Документи”, “Завантаження”. Також програма робить скріншоти  екрану та виконує команди PowerShell із сервера, що контролюється зловмисником.