Кибермошенники замаскировали вредоносную рассылку под сообщение от имени АО «First Heartland Jýsan Bank», сообщает Деловой Казахстан со ссылкой на службу реагирования на компьютерные инциденты KZ-CERT АО «ГТС».
bigmir.net
Как отмечают специалисты злоумышленники часто осуществляют рассылку с помощью подмены (email-spoofing) адреса отправителя от имени популярных брендов. В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги и якобы техническая спецификация приложена файлом.
Проведенный анализ данного файла позволил установить, что он относится в вредоносному программному обеспечению типа LOKIBOT.
"Спам-рассылки и письма с вредоносными вложениями в отношении государственных органов, обнаруженные посредством единого шлюза электронной почты «электронного правительства» (ЕШЭП), находящегося на стороне АО «ГТС», помещены в карантин и до целевых получателей не доставлены.
С целью устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности", - отмечается в сообщении KZ-CERT.
Для проверки наличия вышеуказанного вредоносного программного обеспечения (ВПО) в сети организации Служба KZ-CERT рекомендует:
- Проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути "C:UsersadminAppDataLocalTempOrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe".
- Проверить наличие соединений с сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24).
- Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.