אזהרה מפני תוכנות זדוניות מסוכנות המנצלות הערות על טיוטות של קונגרס המפלגה הלאומי ה-14

באמצעות עבודת הבנת המצב, מחלקת אבטחת הסייבר ומניעת פשיעה טכנולוגית מתקדמת, משטרת העיר האנוי , גילתה   תוכנות זדוניות   ‏Valley RAT מקשר לכתובת שרת הבקרה (C2): 27.124.9.13, פורט 5689, המסתתר בקובץ בשם "DRAFT RESOLUTION CONGRESSION.exe". המדוברים מנצלים את פעילות איסוף חוות דעת על טיוטות מסמכים המוגשות לקונגרס כדי להערים על משתמשים להתקין ולבצע פעולות מסוכנות כגון גניבת מידע רגיש, השתלטות על חשבונות אישיים, גניבת מסמכים והפצת תוכנות זדוניות למחשבים אחרים.

תוצאות הניתוח מראות כי התוכנה הזדונית, לאחר התקנתה במחשב המשתמש, תפעל אוטומטית בכל פעם שהמחשב מופעל, ותתחבר לשרת השלט מרחוק הנשלט על ידי ההאקר, ובכך תמשיך לבצע את הפעולות המסוכנות הנ"ל. הרחבת הסקירה, ותזהה קבצי זדוניות נוספים המחוברים לשרת C2 שההאקר הפיץ לאחרונה:

(1) דוח פיננסי 2.exe או תשלום ביטוח עסקי.exe

(2) הודעה רשמית דחופה של הממשלה.exe

(3) קובץ תמיכה בהצהרת מס.exe

(4) מסמך רשמי להערכת פעילויות צד.exe או טופס אישור.exe

(5) פרוטוקול דוח הרבעון השלישי.exe

כדי למנוע באופן יזום, מחלקת אבטחת הסייבר ומניעת פשעי היי-טק,   משטרת האנוי   ממליצים לאנשים:

- היו ערניים, אל תורידו, תתקינו או תפתחו קבצים ממקור לא ידוע (במיוחד קבצי הפעלה עם הסיומות .exe, .dll, .bat, .msi,...).

- בדוק את מערכת המידע של היחידה והיישוב כדי לזהות קבצים חשודים. אם נרשם אירוע, בידוד המכונה הנגועה, ניתוק האינטרנט ודיווח למרכז הלאומי לאבטחת סייבר לקבלת תמיכה.

- סרוק את המערכת כולה באמצעות תוכנת האבטחה המעודכנת ביותר (EDR/XDR) שיכולה לזהות ולהסיר תוכנות זדוניות נסתרות. שימוש מומלץ: Avast, AVG, Bitdefender (גרסה חינמית) או Windows Defender המעודכן ביותר.

הערה: גרסת ה-Caspery החינמית טרם זיהתה את התוכנה הזדונית הזו.

- סריקה ידנית:

+ בדוק בסייר התהליכים, אם אתה רואה שלתהליך אין חתימה דיגיטלית או שיש לו שם קובץ טקסט מזויף.

+ בדוק את tcpview כדי לראות את חיבור הרשת - אם מזוהה חיבור ל-IP 27[.]124[.]9[.]13, יש לטפל בו באופן מיידי.

- על מנהלי מערכת לחסום בדחיפות את חומת האש, ולמנוע גישה לכתובת ה-IP הזדונית 27.124.9.13.