Кіберкоманда при Держспецзв’язку CERT-UA виявила нові цілеспрямовані кібератаки на представників Сил оборони України. Основною метою є встановлення повнофункціонального бекдору CABINETRAT для отримання віддаленого контролю над ураженою системою.
Кіберкоманда при Держспецзв’язку CERT-UA виявила нові цілеспрямовані кібератаки на представників Сил оборони України. Основною метою є встановлення повнофункціонального бекдору CABINETRAT для отримання віддаленого контролю над ураженою системою.
Зловмисники, відомі як UAC-0245, атакують комп’ютери за допомогою шкідливих XLL-файлів, які видають себе за важливі документи, як-от «Звернення УБД.xll» чи прикордонні протоколи. Ці файли поширюються, зокрема, через месенджер Signal, повідомляє Держспецзв’язку.
Атака через XLL-файли є більш небезпечною, ніж через типові документи Word, оскільки ці файли є виконуваними програмами.
Коли користувач відкриває такий файл в Excel, активується багатоступеневий процес ураження: створюються допоміжні файли, включно з виконуваним файлом-запускачем (runner.exe) та XLL-надбудовою (loader.xll), що розміщується в папці автозавантаження Excel. Закріплення в системі здійснюється через записи в системному реєстрі та налаштування запланованих завдань.
«Кінцевою метою цього ланцюга є запуск прихованого процесу Excel, який автоматично завантажує loader.xll. Цей файл своєю чергою зчитує та виконує основний шкідливий компонент, прихований у звичайному PNG-зображенні. Цей шеллкод і є бекдором CABINETRAT», — пояснюють кіберфахівці.
