Нові модифікації шкідливого програмного забезпечення типу Pterodo на комп’ютерах державних органів України виявили фахівці команди CERT-UA спільно зі Службою зовнішньої розвідки України. Про це йдеться у повідомленні прес-служби CERT-UA.
Як зазначають фахівці, даний вірус збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери та очікує подальших команд.
Бекдор Pterodo встановлює прихований доступ до комп’ютерних систем з метою використання або контролю в майбутньому, що може спричинити витік інформації, блокування роботи, шифрування даних та інші зловмисні дії.
Такі дії у CERT-UA розцінюють як ймовірну підготовку для проведення кібератаки.
«Почерк» шкідливого програмного забезпечення є характерним для цілеспрямованих APT-атак і може свідчити про підготовку до цілеспрямованої кібератаки на комп’ютерні системи України, – наголошують у CERT-UA.
Що шкодить?
Команда CERT-UA надає детальний опис двох версій шкідливого програмного забезпечення (ШПЗ).
1. NEW-SAR_v.14
Відмінність: можливість інфікування системи через флеш-накопичувачі та інші змінні носії інформації, а також інфікування флеш-накопичувачів, що підключаються до враженої машини для подальшого розповсюдження.
Файли та спосіб зараження: документи (.doc,.docx) , зображення (.jpg) та текстові файли (.txt) копіюються в приховану папку MacOS з назвами FILE<довільне число>.<розширення> (наприклад FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу та виконання створеного шкідливого файлу usb.ini.
Особливість ШПЗ: тіло вірусу всіх версій виконує такі ж функції, як і попередні версії: надсилає інформацію про систему, самооновлюється та при наявності завантажує компоненти.
Увага! Ця версія активується лише на системах з локалізацією мов пострадянських держав, як-от: українська, білоруська, російська, вірменська, азербайджанська, узбецька, татарська тощо. Це значно ускладнює аналіз вірусу популярними автоматичними системами аналізу ШПЗ.
2. arm_02.10
Відмінність: при активації файлу відображається повідомлення, яке не спонукає користувача допускати, що це запустилася шкідлива програма.
У даній версії для кожної враженої системи url-директорія є індивідуальною з серійним номером накопичувача, на якому встановлена система. Наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000» – серійний номер.
Це свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної системи визначають, які нові додатки завантажувати та запускати.
Як попередити загрозу?
- забезпечити заборону на відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
- відключити автозапуск змінних носіїв інформації (флеш-накопичувачів) та перевіряти їх антивірусом при підключенні;
- при наявності підозрілого листа від відомого адресата у телефонному режимі (або будь-яким іншим способом) перевірити відправлення такого листа, та у разі не підтвердження – зберегти його на диск, заархівувати і переслати для дослідження на нашу електронну адресу;
- будьте пильними при будь-яких нестандартних ситуаціях, як-от відображення повідомлення операційною системою про неможливість відкриття файлу, необхідність установки програмного забезпечення, запит на дозвіл виконання операції;
- відключити від мережі Інтернет підозрілий пристрій для подальшої перевірки;
- вимкнути шифрування, якщо воно дозволено;
- перевірити виключення макросів в редакторі Microsoft Office Word;
- використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
- регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом.