Хакери атакують гаджети українців через скомпрометовані програми Microsoft

Дослідники з компанії Fortinet виявили нову складну шкідливу кібератаку, спрямовану на пристрої українських користувачів. Основною метою зловмисників є впровадження шкідливого програмного забезпечення Cobalt Strike та захоплення контролю над зараженими комп’ютерами.

Атака починається зі шкідливого файлу Microsoft Excel, що містить спеціальний VBA-скрипт. Цей скрипт запускає процес зараження, підключаючись до серверів зловмисників.

Спочатку Cobalt Strike був створений для тестування безпеки, однак тепер його зламані версії використовують для злочинів.

Файл Excel, використовуваний у цій атаці, написаний українською мовою. З липня 2022 року Microsoft блокує макроси за замовчуванням, що ускладнює завдання зловмисникам. Проте вони використовують різноманітні трюки, щоб змусити користувачів увімкнути макроси.

Після увімкнення макросів запускається спеціальна програма, яка перевіряє, чи встановлені на комп’ютері антивіруси Avast або Process Hacker. Якщо вони є, програма припиняє роботу. Якщо їх немає, вона підключається до віддаленого сервера для завантаження подальших шкідливих програм, але тільки якщо пристрій знаходиться в Україні.

Далі завантажується інша програма, яка запускає шкідливе програмне забезпечення. Останній етап атаки включає розгортання Cobalt Strike Beacon, який встановлює зв’язок із серверами зловмисників.

Геолокаційні перевірки під час завантаження допомагають приховати підозрілу активність від аналітиків. Використання закодованих рядків приховує важливу інформацію, що полегшує розгортання шкідливих програм. Програма також має функцію самознищення, щоб уникнути виявлення антивірусами.

Раніше спеціалісти з кібербезпеки Microsoft розкрили злочинну діяльність хакерів з угруповання Cadet Blizzard — вони співпрацюють зі службою військової розвідки рф. Основною ціллю атак зловмисників є Україна, втім хакери нерідко атакують і країни-члени НАТО, що підтримують нашу державу.