Инфостилеры обворовывает пользователей украинской военной системы Delta

Инфостилеры обворовывает пользователей украинской военной системы Delta

Пользователей системы заражали через письма, отправленные со взломанной электронной почты Минобороны Украины.

image

Delta – украинская система информационной поддержки решений и ситуационной осведомленности на поле боя. Программа создана для улучшения скоординированности действий различных подразделений армии Украины. Delta имеет интеграцию с различными внешними системами разведки, такими как: спутники, радары, различные сенсоры и камеры, а также чат-бот в Telegram под названием «е-Ворог». Каждый солдат может внести свои данные на общую карту, а также просматривать данные, внесенные другими военными или службами разведки. Каждому пользователю присваивается свой уровень допуска, отвечающий его боевым заданиям и званию.

Кроме того, система использует цифровые сертификаты для подписи программного кода и аутентификации серверов. Это нужно для того, чтобы ИБ-системы знали, что приложение не модифицировано, а оператор сервера является тем, за кого себя выдает.

В ходе этой вредоносной кампании неизвестные хакеры использовали взломанную электронную почту Минобороны Украины. С нее злоумышленники рассылали письма пользователям Delta, в которых призывали как можно скорее обновить сертификаты, чтобы продолжить безопасно пользоваться системой. По данным CERT-UA, вредоносные письма содержали в себе PDF-документы с инструкциями по установке сертификатов, а также ссылки для загрузки ZIP-архива под названием "certificates_rootCA.zip".


Электронное письмо, обнаруженное CERT-UA.


Страница, с которой жертвы загружают ZIP-файл.

Архив содержит исполняемый файл с цифровой подписью под названием "certificates_rootCA.exe", который при запуске создает несколько DLL-файлов в системе жертвы и запускает файл "ais.exe", имитирующий процесс установки сертификата. Этот шаг убеждает жертву в легитимности происходящего и притупляет бдительность.

Exe- и dll-файлы защищены VMProtect, легитимным ПО, которое используется для обертывания файлов в автономных VM и шифрования их содержимого, что делает невозможным анализ или обнаружение антивирусными средствами.

Специалисты CERT-UA все же смогли проанализировать два dll – FileInfo.dll и procsys.dll, которые оказались вредоносными программами, получившими название FateGra' и StealDeal.

FateGrab - это инфостилер, нацеленный на документы и электронные письма следующих форматов: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf', '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '.eml', '.msg', '.email'.

StealDeal – это тоже инфостилер, но уже нацеленный на историю браузера жертвы и сохраненные пароли.

Пока CERT-UA не может связать эту вредоносную кампанию с какой-либо хакерской группировкой.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!