Хакеры крадут данные казахстанцев, копируя одну из популярных программ госуслуг

Хакеры крадут данные казахстанцев, копируя одну из популярных программ госуслуг
фото: rspectr.com

Как известно, для подписания запроса на получение госуслуги необходимо установить NCALayer. Государственной технической службой выявлен фишинговый интернет-ресурс hxxps://ncalayer.info/update.php, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа Trojan Downloader, передает портал Качественный Казахстан со ссылкой на пресс-службу ГТС.   

Как сообщили сотрудники Государственной технической службы (ГТС), после цепочки расшифрования и загрузок, которая включает популярный репозиторий кода GitHub, на компьютер устанавливается вредоносное программное обеспечение Venom RAT v6.0.1, взломанная версия которой распространяется на хакерских даркнет-форумах.

«Особенностью данной вредоносной программы является то, что она обладает функционалом кейлоггера, кражи данных, скрытного дистанционного управления компьютером (VNC), а также управления веб-камерой. В конечном результате злоумышленник имеет возможность считывать информацию, набираемую на клавиатуре, просматривать пароли, в т.ч. с браузеров, а также установить сторонние приложения. Настоятельно рекомендуем не загружать и не устанавливать подобные программы и не переходить по подозрительным ссылкам, так как оно может угрожать вашей личной информации», – предупредили в пресс-службе ГТС.  

Также отмечено, что Национальной службой реагирования на компьютерные инциденты KZ CERT направлена информация зарубежному регистратору доменного имени о принятии необходимых мер. К тому же, государственным органам и оперативным центрам информационной безопасности направлены уведомления с помощью внутренней платформы для обмена информацией.

Кроме того, в ГТС напомнили, что официальным интернет-ресурсом для установки NCALayer является https://ncl.pki.gov.kz/kz/.

Дополнительная информация для технических специалистов при предотвращении и детектировании:

Контрольные суммы:

  • 90FC32AFFDFE1F78C15B7D0D0D5C2EB0
  • DEC8D147133403AEAF4D6A3F568B96CE
  • 11778B58E4DE1518F0B10129AB1D8D0D
  • BEE0C15CAED5C45356C7FD55290A2DBF
  • FFF67136941D5D16011E78DB9E2626F43ADFE3BC
  • 1B9B17CEB20BB120C0113D90DC6E3751E50C98DC
  • DBB287CCAFA466DB2D049D3A11B791DD8D1694D7
  • 5FDF1F9DE16AD67C3A40A0B57AAD8015978D4E60
  • 63AD98FC47990E1B827A6C1B541D7A76F65722537EDAEF90FFDE5262F30383E2
  • FA086D24C7D52D75A4E6725517EE3A387A9D9CD5B0275FA010E1DFD81039DC46
  • 4876B9C55E9B29F2C4CEEAA1FB498DEA8D4E4CD40356C92D23A4B15D9B70C51D
  • 5917FD78B3281464E5231CFDDFA62A26DE5DCD8146EEDB7B58D40BBDB4424138

Имена файлов:

  • Обновление-NCALayer.bat
  • %APPDATA%\NETFramework48\install.exe
  • %APPDATA%\OSDService\Init.exe
  • %APPDATA%\NETFramework48.zip
  • %APPDATA%\csrsv64.zip
  • %APPDATA%\OSDService.zip

Реестр:

  • параметр ConsentPromptBehaviorAdmin ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • параметр WinRAR32 ключа HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
  • параметр Init ключа HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Задача:

Init

Сеть:

  • 95.214.27[.]222
  • 95.214.27[.]223
  • 95.214.27[.]220