Кіберзлочинці почали використовувати тему закупівель безпілотних літальних апаратів (БПЛА) для атак на українські оборонні підприємства. Згідно з повідомленням Держспецзв’язку, хакери використовують декілька видів шкідливого програмного забезпечення і можуть представлятись працівниками державних органів для підвищення довіри.

Схема атаки

1. Зловмисники надсилають електронний лист із вкладенням у вигляді ZIP-файлу, що містить PDF-документ із посиланням.
2. Жертві пропонується перейти за посиланням, щоб нібито «завантажити відсутні шрифти».
3. Перехід за посиланням призводить до завантаження файлу adobe_acrobat_fonts_pack.exe, що є насправді шкідливою програмою GLUEEGG, призначеною для дешифрування та запуску завантажувача DROPCLUE.
4. DROPCLUE завантажує та відкриває два файли: PDF-приманку та EXE-файл font-pack-pdf-windows-64-bit.
5. Останній використовується для встановлення легітимної програми для віддаленого доступу ATERA.
6. Зловмисники отримують несанкціонований доступ до комп’ютера жертви.

Як запобігти атаці:

1. Будьте пильні та уважно перевіряйте інформацію в електронних листах.
2. Не завантажуйте та не відкривайте підозрілих файлів, навіть якщо їх надсилають нібито представники державних органів.
3. У разі підозри на атаку негайно звертайтесь до CERT-UA.

Раніше Держспецзв’язку попереджало про цільові кібератаки, які здійснюються проти державних службовців, військових і представників оборонних підприємств України. Зловмисники використовують шкідливу програму, яку поширюють через месенджер Signal.