Фахівці української кіберполіції зафіксували випадки поширення шкідливого програмного забезпечення, яке зловмисники використовували через популярні поштові сервіси щодо користувачів MS Windows, в основному приватних нотаріусів.
Як повідомили у вівторок, 11 грудня, в департаменті кіберполіції Національної поліції України, для відправки шкідливих додатків правопорушники використовували поштові сервіси українських компаній www.ukr.net і www.i.ua. Ці повідомлення надходили нібито від імені державних установ, в тому числі судів різних інстанцій.
Для зараження комп'ютерів користувачів зловмисники використовували кілька видів шкідливого програмного забезпечення зі схожим функціоналом. Використовувалися різні методи їх поширення (наприклад, користувачі отримували архівні файли, які зовні виглядали як файли формату .pdf). Порушники навіть підробили зміст файлів - зовні вони виглядали як відсканований документ, створений від імені держустанови.
Скріншот Кіберполіції
У деяких випадках поширення вірусу відбувалося за допомогою документів формату .docx з вбудованим шкідливим OLE-об'єктом. Після відкриття документа користувачем відбувався запуск шкідливого програмного забезпечення, автоматично відбувалося додавання запису до реєстру операційної системи для його автозавантаження.
Під час поглибленого аналізу фахівці з кіберполіції встановили шлях запуску шкідливого програмного забезпечення і його подальші дії.
Згідно з результатами аналізу, це шкідливе програмне забезпечення є модифікованою версією легального програмного забезпечення RMS TektonIT.