Службой KZ-CERT устранена вредоносная фишинговая рассылка
В адрес Службы реагирования на компьютерные инциденты KZ-CERT поступило обращение о зафиксированной вредоносной фишинговой рассылке с электронного адреса [email protected] с темой письма – «кововид-19 қорғаныс құралдарын тегін тарату (Қазақстан Республикасы Денсаулық сақтау министрлігі)».
В ходе анализа эксперты Службы KZ-CERT выяснили, что данная рассылка осуществлялась с применением методов email-спуфинга (подмены), в результате которого подделывался реальный электронный адрес отправителя. Проверка активности рассылки позволила выявить два скомпрометированных почтовых сервера в казахстанском сегменте Интернет, с которых активно осуществлялась рассылка с подменой реального адреса отправителя на [email protected].
Также на едином шлюзе электронной почты с электронного адреса [email protected] обнаружена рассылка писем в адрес 206 адресатов государственных органов РК, которые были успешно заблокированы и до конечных пользователей не доставлены. Данная вирусная рассылка в основном была нацелена на государственные органы РК, компании квазигосударственного, частного, а также банковского сектора.
Осуществленный Службой KZ-CERT анализ файла, находившегося в письме в виде безобидной презентации, был идентифицирован как вредоносное программное обеспечение. Стоит отметить, что вредоносное вложение относится к типу вирусов-стиллеров. Особенностью данного ВПО является то, что оно получает доступ к некоторым системным ресурсам компьютера жертвы, что позволяет злоумышленникам получить доступ к конфиденциальным данным пользователя с дальнейшей отправкой на командный сервер злоумышленников.
На сегодняшний день источники вредоносной рассылки успешно нейтрализованы и новых аналогичных рассылок с указанного адреса не зафиксировано. Выявленные источники вредоносной рассылки успешно нейтрализованы. Владельцам скомпрометированных серверов даны рекомендации по устранению и недопущению компрометации в будущем.
Всем казахстанским пользователям настоятельно рекомендуем соблюдать правила кибергигиены для сохранения безопасности своих личных данных.
Если Вы стали жертвой инцидента информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправить заявку по ссылке: http://www.cert.gov.kz/notify-incident, или направить письмо на email: [email protected].