Нові модифікації шкідливого програмного забезпечення типу Pterodo на комп’ютерах державних органів України виявили фахівці команди CERT-UA спільно зі Службою зовнішньої розвідки України. Про це йдеться у повідомленні прес-служби CERT-UA.

Як зазначають фахівці, даний вірус збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери та очікує подальших команд.

Бекдор Pterodo встановлює прихований доступ до комп’ютерних систем з метою використання або контролю в майбутньому, що може спричинити витік інформації, блокування роботи, шифрування даних та інші зловмисні дії.

Такі дії у CERT-UA розцінюють як ймовірну підготовку для проведення кібератаки.

«Почерк» шкідливого програмного забезпечення є характерним для цілеспрямованих APT-атак і може свідчити про підготовку до цілеспрямованої кібератаки на комп’ютерні системи України, – наголошують у CERT-UA.

Що шкодить?

Команда CERT-UA надає детальний опис двох версій шкідливого програмного забезпечення (ШПЗ).

1. NEW-SAR_v.14

Відмінність: можливість інфікування системи через флеш-накопичувачі та інші змінні носії інформації, а також інфікування флеш-накопичувачів, що підключаються до враженої машини для подальшого розповсюдження.

Файли та спосіб зараження: документи (.doc,.docx) , зображення (.jpg) та текстові файли (.txt) копіюються в приховану папку MacOS з назвами FILE<довільне число>.<розширення> (наприклад FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу та виконання створеного шкідливого файлу usb.ini.

Особливість ШПЗ: тіло вірусу всіх версій виконує такі ж функції, як і попередні версії: надсилає інформацію про систему, самооновлюється та при наявності завантажує компоненти.

Увага! Ця версія активується лише на системах з локалізацією мов пострадянських держав, як-от: українська, білоруська, російська, вірменська, азербайджанська, узбецька, татарська тощо. Це значно ускладнює аналіз вірусу популярними автоматичними системами аналізу ШПЗ.

2. arm_02.10

Відмінність: при активації файлу відображається повідомлення, яке не спонукає користувача допускати, що це запустилася шкідлива програма.

У даній версії для кожної враженої системи url-директорія є індивідуальною з серійним номером накопичувача, на якому встановлена система. Наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000» – серійний номер.

Це свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної системи визначають, які нові додатки завантажувати та запускати.

Як попередити загрозу?

• забезпечити заборону на відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
• відключити автозапуск змінних носіїв інформації (флеш-накопичувачів) та перевіряти їх антивірусом при підключенні;
• при наявності підозрілого листа від відомого адресата у телефонному режимі (або будь-яким іншим способом) перевірити відправлення такого листа, та у разі не підтвердження – зберегти його на диск, заархівувати і переслати для дослідження на нашу електронну адресу;
• будьте пильними при будь-яких нестандартних ситуаціях, як-от відображення повідомлення операційною системою про неможливість відкриття файлу, необхідність установки програмного забезпечення, запит на дозвіл виконання операції;
• відключити від мережі Інтернет підозрілий пристрій для подальшої перевірки;
• вимкнути шифрування, якщо воно дозволено;
• перевірити виключення макросів в редакторі Microsoft Office Word;
• використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
• регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом.