Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 30 і 31 серпня 2022 року зафіксовано масові розсилки електронних листів з темами "Технічне креслення" ("Technisches Zeichnen") серед українських, австрійських та німецьких організацій.
У вкладенні до електронного листа знаходиться IMG-файл (наприклад, "Технічне креслення.img"), що містить одноіменний CHM-файл, відкриття якого призведе до виконання JavaScript-коду, який, в свою чергу, забезпечить завантаження та виконання файлу node.txt за допомогою PowerShell.
Згаданий файл містить PowerShell-код, який здійснить декодування, декомпресію (Gzip) і виконання DLL та EXE файлів. Файл EXE є шкідливою програмою AgentTesla.
Зауважимо, що аналогічні розсилки також зафіксовано 11.08.2022, при цьому, електронні листи містили вкладення/тему "Договірна документація".
Активність тимчасово відстежується за ідентифікатором UAC-0120.
***
Всі новини щодо кібератаки дивиться за посиланням.