Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про цільові кібератаки проти державних службовців, військових і представників оборонних підприємств України.
Для своїх цілей зловмисники використовують шкідливу програму DarkCrystal RAT, яку розповсюджують через популярний серед військових месенджер Signal.
Щоб підвищити рівень довіри до таких повідомлень, для відправлення може використовуватися скомпрометований обліковий запис людини зі списку контактів або спільних груп жертви.
Схема атаки:
- жертві надходить повідомлення, в якому міститься архів, пароль до нього та зауваження щодо необхідності відкриття файлу на комп'ютері;
- архів містить виконуваний файл із розширеннями «.pif» або «.exe», який у свою чергу є RARSFX-архівом і містить VBE-файл, BAT-файл, та EXE-файл;
- запуск цих файлів призводить до ураження комп'ютера шкідливою програмою DarkCrystal RAT і надає зловмисникам можливість прихованого несанкціонованого доступу до цього комп’ютера.
Загалом CERT-UA віксує збільшення кібератак з використанням месенджерів, а також активне використання скомпрометованих облікових записів.