Спроба відкрити документ призведе до запуску ПЗ Meterpreter, яке збирає інформацію про комп’ютер і надає віддалений доступ.
Хакери намагаються зламати державні органи України, розсилаючи фішингові листи із фальшивим указом президента. Про це на своєму сайті попередила урядова команда реагування на надзвичайні комп’ютерні події (CERT-UA).
Один із чиновників отримав електронний лист із темою “Указ Президента України №576/22 про безпрецедентні заходи безпеки”, та ISO-файл, підписаний так само. Варто зазначити, що формат ISO передбачає образ даних компакт-диска, його також використовують для стиснення файлів.
Як встановили фахівці, зловмисники помістили в ISO-файл документ “a.docx”, який є приманкою для користувачів, файл “УКАЗ ПРЕЗИДЕНТА УКРАЇНИ №151_2022.mp4.lnk”, PowerShell-скрипт “z.ps1” та EXE-файл “b. exe”. Файл LNK слугує посиланням на вихідний файл, після запуску він активує PowerShell-скрипт, який відкриє DOCX-файл і виконає файл “b.exe”. Унаслідок чого комп’ютер буде вражений шкідливою програмою Meterpreter.
Як пише сайт “Хабр”, Meterpreter — це розширена функціональна начинка для ПЗ (Payload). Найчастіше такий вірус використовує уразливість Windows і дозволяє зловмисникам збирати інформацію про комп’ютер, враховуючи паролі, налаштування і список користувачів, а також отримати віддалений доступ до робочого столу.