Від учасника інформаційного обміну отримано електронний лист з темою "Помічена підозріла активність @UKR.NET" та додатком у вигляді PDF-файлу "Попередження про безпеку.pdf" надісланий, начебто, від імені технічної підтримки UKR.NET (електронна адреса відправника: "account.support.0@ukr.net").

Згаданий PDF-документ містить посилання на шахрайський вебресурс, що імітує вебсторінку поштового сервісу.

У випадку автентифікації на підробному вебсайті, логін та пароль користувача будуть надіслані зловмисникам, що створить передумови для отримання несанкціонованого доступу до електронної поштової скриньки користувача третіми особами.

CERT-UA вжито додаткових заходів з аналізу мережевої інфраструктури, що застосовується для здійснення аналогічних кібератак з 2021 року, в результаті чого виявлено, щонайменше, 118 пов'язаних доменних імен, що зареєстровані компанією "Internet Domain Service BS Corp." (@internet.bs, Багамські острови). Відповідні сервери, за даними Domaintools, розміщено в Нідерландах на технічному майданчику "Nice-IT" aka "@as49447.net" (номер автономної системи: 49447).

Описана активність відстежується за ідентифікатором UAC-0102.

Задля мінімізації вірогідності реалізації кіберзагроз у відношенні громадян України, ідентифіковані доменні імена додано до DNS RPZ зони, яка обслуговується CERT-UA, а також передано фахівцям CSIRT-NBU з метою внесення до DNS RPZ зони "шахрайство".

Закликаємо користувачів UKR.NET скористатися штатним функціоналом поштового сервісу та невідкладно вжити заходів з налаштування багатофакторної автентифікації.

Рекомендовано, починаючи з 01.01.2023, перевірити факти мережевої взаємодії з доменними іменами та IP-адресами, зазначеними в розділі "Індикатори кіберзагроз", принагідно звернувши увагу на наявність несанкціоновано налаштованих фільтрів пошти та сторонніх пристроїв/додатків, яким надо доступ до поштової скриньки.

джерело