новости

Хакеры нацелились на госуслуги в Казахстане: просят обновить NCALayer

Новостная редакция

1 min read
Хакеры нацелились на госуслуги в Казахстане: просят обновить NCALayer

Все мы знаем, для подписания запроса на получение госуслуги необходимо установить NCALayer. Государственной технической службой выявлен фишинговый интернет-ресурс hxxps://ncalayer.info/update.php, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа "Trojan Downloader".

После цепочки расшифрования и загрузок, которая включает популярный репозиторий кода GitHub, на компьютер устанавливается вредоносное программное обеспечение Venom RAT v6.0.1, взломанная версия которой распространяется на хакерских даркнет форумах.

Особенностью данной вредоносной программы является то, что она обладает функционалом кейлоггера, кражи данных, скрытного дистанционного управления компьютером (VNC), а также управления веб-камерой. В конечном результате злоумышленник имеет возможность считывать информацию, набираемую на клавиатуре, просматривать пароли, в т.ч. с браузеров, а также установить сторонние приложения.

Настоятельно рекомендуем не загружать и не устанавливать подобные программы и не переходить по подозрительным ссылкам, так как оно может угрожать вашей личной информации.

Национальной службой реагирования на компьютерные инциденты KZ CERT направлена информация зарубежному регистратору доменного имени о принятии необходимых мер. К тому же, государственным органам и оперативным центрам информационной безопасности направлены уведомления с помощью внутренней платформы для обмена информацией.

Пример письма мошенников

Напомним, что официальным интернет-ресурсом для установки NCALayer является https://ncl.pki.gov.kz/kz/.

Дополнительная информация для технических специалистов при предотвращении и детектировании:

Контрольные суммы:

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

Имена файлов: Обновление-NCALayer.bat %APPDATA%\NETFramework48\install.exe %APPDATA%\OSDService\Init.exe %APPDATA%\NETFramework48.zip %APPDATA%\csrsv64.zip %APPDATA%\OSDService.zip

Реестр: параметр "ConsentPromptBehaviorAdmin" ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр "WinRAR32" ключа HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ параметр "Init" ключа HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Задача: Init

Сеть: 95.214.27[.]222 95.214.27[.]223 95.214.27[.]220