Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 13.07.2023 зафіксовано масову розсилку електронних повідомлень з темою "Рахунок-фактура" та вкладенням у вигляді файлу "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip ", що містить VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs", відкриття якого забезпечить завантаження і запуск шкідливої програми SmokeLoader.

Цього разу конфігураційний файл шкідливої програми містить 45 доменних імен, з яких лише 5 на момент аналізу мають A-запис (IP-адреса: 193.106.174[.]173; провайдер @iqhost[.]ru, Росія).

Слід звернути увагу на той факт, що, з метою забезпечення живучості, функціонал SmokeLoader'у передбачає можливість визначення актуальних A-записів для доменних імен шляхом зверення до DNS-серверів сервісу @dnspod[.]com.

Вкотре для розповсюдження листів використано скомпрометовані облікові записи електронної пошти.

Наголошуємо на доцільності обмеження можливості використання користувачами Windows Script Host (wscript.exe, cscript.exe), а також PowerShell.

З метою сприяння вжиттю заходів зі знезараження, перелік індикаторів кіберзагрози, в т.ч., приклад файлу запланованого завдання, що використовується для забезпечення персистентності, додано до статті.

Активність відстежується за ідентифікатором UAC-0006.

CERT-UA