Команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка функціонує у рамках Державної служби спеціального зв'язку та захисту інформації, попереджає про спроби кібератак на українські організації та установи із використанням легітимної програми Remote Utilities.
Про це повідомляє CERT-UA.
«Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA зафіксовано факт масового розповсюдження електронних поштових повідомлень, що містять посилання на захищені паролем RAR і/або ZIP архіви (наприклад, «Судовий запит №9978364774635676778282.rar_pass_123.zip)», розміщені на публічних сервісах Google Drive і DropMeFiles", - йдеться у повідомленні.
Якщо отримувач повідомлення завантажить та розпакує такий архів, на його комп’ютер буде встановлена програма Remote Utilities. Вона, у свою чергу, надасть прихований віддалений доступ до пристрою третім особам. При цьому здатність програми поновлювати активність після перезавантаження комп’ютера забезпечується шляхом створення служби «RManService».
"Подібні кібератаки є систематичною активністю, що здійснюється у відношенні державних органів України (але не виключно) та відслідковується CERT-UA за ідентифікатором UAC-0096", - зауважили у службі.
Для видалення шкідливої програми у Держспецзв'язку рекомендують зупинити сервіс «RManService», видалити каталог «%PROGRAMFILES(X86)%\Remote Utilities - Host\», видалити ключ реєстру «HKLM\SOFTWARE\Usoris».