Правительственная команда реагирования на чрезвычайные события Украины CERT-UA зафиксировала очередные попытки кибератак на организации и учреждения с использованием легитимной программы Remote Utilities.
Об этом сообщается на сайте CERT-UA, функционирующей в рамках Государственной службы специальной связи и защиты информации.
Как отмечается, кибермошенники массово рассылают электронные письма, содержащие ссылки на защищенные паролем RAR и/или ZIP архивы (например, “Судебный запрос №9978364774635676778282.rar_pass_123.zip”), размещенные на публичных сервисах GoogleDrive. При загрузке, распаковке и запуске архива на компьютер пользователя устанавливается программа Remote Utilities, которая предоставляет скрытый удаленный доступ к устройству третьим лицам. При этом способность обновлять активность после перезагрузки компьютера обеспечивается путём создания службы “RManService”.
Для удаления вредоносной программы киберспециалисты рекомендуют остановить сервис “RManService”, удалить каталог “%PROGRAMFILES(X86)%\Remote Utilities – Host\” и удалить ключ реестра “HKLM\SOFTWARE\Usoris”.
“Подобные кибератаки являются систематической активностью, осуществляемой в отношении государственных органов Украины (но не исключительно) и отслеживается CERT-UA по идентификатору UAC-0096”, – заявили в CERT-UA.
Читайте также:
