фото: rspectr.com
Как известно, для подписания запроса на получение госуслуги необходимо установить NCALayer. Государственной технической службой выявлен фишинговый интернет-ресурс hxxps://ncalayer.info/update.php, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа Trojan Downloader, передает портал Качественный Казахстан со ссылкой на пресс-службу ГТС.
Как сообщили сотрудники Государственной технической службы (ГТС), после цепочки расшифрования и загрузок, которая включает популярный репозиторий кода GitHub, на компьютер устанавливается вредоносное программное обеспечение Venom RAT v6.0.1, взломанная версия которой распространяется на хакерских даркнет-форумах.
«Особенностью данной вредоносной программы является то, что она обладает функционалом кейлоггера, кражи данных, скрытного дистанционного управления компьютером (VNC), а также управления веб-камерой. В конечном результате злоумышленник имеет возможность считывать информацию, набираемую на клавиатуре, просматривать пароли, в т.ч. с браузеров, а также установить сторонние приложения. Настоятельно рекомендуем не загружать и не устанавливать подобные программы и не переходить по подозрительным ссылкам, так как оно может угрожать вашей личной информации», – предупредили в пресс-службе ГТС.
Также отмечено, что Национальной службой реагирования на компьютерные инциденты KZ CERT направлена информация зарубежному регистратору доменного имени о принятии необходимых мер. К тому же, государственным органам и оперативным центрам информационной безопасности направлены уведомления с помощью внутренней платформы для обмена информацией.
Кроме того, в ГТС напомнили, что официальным интернет-ресурсом для установки NCALayer является https://ncl.pki.gov.kz/kz/.
Дополнительная информация для технических специалистов при предотвращении и детектировании:
Контрольные суммы:
- 90FC32AFFDFE1F78C15B7D0D0D5C2EB0
- DEC8D147133403AEAF4D6A3F568B96CE
- 11778B58E4DE1518F0B10129AB1D8D0D
- BEE0C15CAED5C45356C7FD55290A2DBF
- FFF67136941D5D16011E78DB9E2626F43ADFE3BC
- 1B9B17CEB20BB120C0113D90DC6E3751E50C98DC
- DBB287CCAFA466DB2D049D3A11B791DD8D1694D7
- 5FDF1F9DE16AD67C3A40A0B57AAD8015978D4E60
- 63AD98FC47990E1B827A6C1B541D7A76F65722537EDAEF90FFDE5262F30383E2
- FA086D24C7D52D75A4E6725517EE3A387A9D9CD5B0275FA010E1DFD81039DC46
- 4876B9C55E9B29F2C4CEEAA1FB498DEA8D4E4CD40356C92D23A4B15D9B70C51D
- 5917FD78B3281464E5231CFDDFA62A26DE5DCD8146EEDB7B58D40BBDB4424138
Имена файлов:
- Обновление-NCALayer.bat
- %APPDATA%\NETFramework48\install.exe
- %APPDATA%\OSDService\Init.exe
- %APPDATA%\NETFramework48.zip
- %APPDATA%\csrsv64.zip
- %APPDATA%\OSDService.zip
Реестр:
- параметр ConsentPromptBehaviorAdmin ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
- параметр WinRAR32 ключа HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- параметр Init ключа HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Задача:
Init
Сеть:
- 95.214.27[.]222
- 95.214.27[.]223
- 95.214.27[.]220
Комментарии
Чтобы оставить комментарий зарегистрируйтесь или войдите
Авторизация через