Попередження про шкідливе програмне забезпечення Valley RAT, яке видає себе за "Проект резолюції 14-го Національного з'їзду партії"

Це трюк, який використовує широке політичне середовище людей для поширення шкідливого програмного забезпечення, крадіжки інформації та створення загрози безпеці інформаційних систем установ, організацій та окремих осіб.

За даними Департаменту кібербезпеки та запобігання високотехнологічним злочинам (міська поліція Ханоя ), шкідливе програмне забезпечення Valley RAT замасковане у файлі під назвою "DRAFT RESOLUTION OF THE CONGRESS.exe". Коли користувач відкриває файл, шкідливе програмне забезпечення негайно встановлюється в систему, автоматично запускається щоразу під час запуску комп'ютера та підключається до сервера керування (C2) за адресою 27.124.9.13 (порт 5689), контрольованого хакерами. Звідси шкідливе програмне забезпечення може виконувати небезпечні дії: красти конфіденційну інформацію на комп'ютері користувача; отримувати контроль над комп'ютером; красти особисті облікові записи, облікові записи агентств; збирати внутрішні документи; продовжувати поширювати шкідливе програмне забезпечення на інші пристрої в тій самій системі.

Небезпечним фактором є те, що інтерфейс файлу замаскований під справжній адміністративний документ, що може легко заплутати користувачів, особливо в контексті того, що багато підрозділів надсилають та отримують документи для коментування.

Завдяки розширеному скануванню влада виявила ще багато шкідливих файлів зі схожою структурою, які виглядали як знайомі адміністративні документи: FINANCIAL REPORT2.exe або BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe або AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THIRD QUARTER.exe

Ці файли названі на честь специфіки офісної роботи, фінансів, партійних справ, податків... що збільшує ймовірність того, що користувачі вважатимуть їх внутрішніми документами та відкриють їх, створюючи умови для поширення шкідливого програмного забезпечення.

За допомогою технічного аналізу поліція міста Ханой оцінила Valley RAT як особливо небезпечний, оскільки він має характеристики, що роблять його серйозною загрозою: ховається в системі, автоматично запускається разом з Windows; дозволяє хакерам дистанційно керувати пристроєм; може завантажувати додаткове шкідливе програмне забезпечення; автоматично збирає конфіденційні дані та надсилає їх на сервер керування; може записувати натискання клавіш, робити скріншоти, красти паролі, збережені в браузері; легко поширюється у внутрішній мережевій системі...

Багато установ та організацій використовують внутрішню електронну пошту або Zalo, Facebook Messenger для обміну документами, ненавмисно створюючи сприятливе середовище для поширення шкідливого програмного забезпечення, якщо заражений лише один комп’ютер у системі. Для забезпечення інформаційної безпеки Департамент кібербезпеки та запобігання високотехнологічним злочинам Департаменту поліції міста Ханой дав конкретні рекомендації: не відкривайте та не завантажуйте дивні файли, файли .exe з електронної пошти чи соціальних мереж, будьте особливо обережні з файлами з такими розширеннями: .exe; .dll; .bat; .msi... Навіть якщо файл надіслано від знайомого (обліковий запис міг бути викрадений).

Ханойська поліція зазначає, що безкоштовний антивірусний програмний комплекс Kaspersky ще не виявляв цей тип шкідливого програмного забезпечення.

Окрім використання антивірусного програмного забезпечення та брандмауерів, людям потрібно використовувати Process Explorer, щоб побачити дивні процеси без цифрових підписів; використовувати TCPView для перевірки з’єднання; якщо ви бачите з’єднання з IP-адресою 27.124.9.13, вам потрібно негайно його обробити.

Людям необхідно отримати офіційну попереджувальну інформацію, дотримуватися рекомендацій від: Міністерства громадської безпеки ; Міністерства інформації та зв'язку; Місцевої поліції; Не поширюйте підозрілі файли в соціальних мережах, щоб уникнути поширення; Підвищте пильність для захисту національної мережевої безпеки...

Джерело: https://baolaocai.vn/canh-bao-ma-doc-valley-rat-gia-danh-du-thao-nghi-quyet-dai-hoi-xiv-cua-dang-post886962.html