Важное предупреждение по безопасности для сотрудников государственных и частных организаций

Проверки, проведённые UZCERT, показывают, что в последнее время государственные и частные организации, действующие на территории Республики Узбекистан, становятся основными целями фишинговых атак, осуществляемых через электронную почту. Злоумышленники отправляют сотрудникам различные виды файлов, которые при открытии устанавливают вредоносное ПО (например, удалённый троян — RAT). В результате преступники получают возможность удалённо управлять компьютерами и похищать логины, пароли, финансовые документы и другую конфиденциальную информацию. Позже они совершают мошенничество от имени организации, отправляя партнёрам поддельные банковские реквизиты, что приводит к значительным финансовым потерям.

Последние исследования показывают, что фишинговые атаки в первую очередь нацелены на руководство и сотрудников, занимающихся финансовыми вопросами. Злоумышленники сначала отправляют на их электронную почту фальшивые сообщения, визуально похожие на рабочую переписку. В одном из выявленных случаев сотрудник финансового отдела получил файл под названием «TT088541873 – Proforma Invoice 2025_pdf.txz». Сотрудник не обратил внимания, что файл оканчивается на «.txz», и открыл его.

После открытия файла вредоносное ПО незаметно установилось на компьютер без каких‑либо запросов разрешений и предоставило преступникам полный удалённый доступ к системе. В течение определённого времени программа передавала злоумышленникам все важные данные с компьютера — логины и пароли, документы, финансовые записи и другие конфиденциальные файлы.

Спустя некоторое время, когда начался процесс обмена финансовыми документами между организацией и её официальным партнёром, злоумышленники, используя установленное ПО, вступили в переписку от имени пострадавшей организации и отправили партнёру поддельные реквизиты для оплаты. Партнёр, считая письма подлинными, без сомнений перечислил крупную сумму на счёт мошенников.

В результате организация понесла серьёзный финансовый ущерб, а часть её конфиденциальных данных попала к злоумышленникам.

В ходе дальнейшего расследования установлено, что причиной всей атаки стало вредоносное ПО, которое проникло в систему после открытия сотрудником фишингового письма. После установки программа предоставила злоумышленникам полный удалённый контроль над компьютером. Дополнительные проверки показали, что вредоносное ПО собирало все сохранённые логины и пароли приложений, документы пользователя, рабочие файлы и другие конфиденциальные данные, регулярно отправляя их в Telegram‑аккаунт, контролируемый преступниками.

В заключение отмечается, что вредоносные файлы чаще всего распространяются в следующих форматах: исполняемые файлы (.exe, .scr, .bat, .cmd, .msi, .ps1, .dll), архивы с внедрёнными вирусами (.zip, .rar, .7z, .tar, .gz, .tgz, .txz, .iso, .img), документы с макросами или эксплойтами (.docm, .xlsm, .docx, .xlsx, .pdf, .rtf), файлы с двойным расширением (например, Invoice.pdf.exe), различные скрипты (.js, .vbs, .jse, .vbe, .hta), другие форматы, позволяющие выполнять код через MS Office (.pif, .lnk, .csv), а также, в редких случаях, медиафайлы (.jpg, .png, .mp4, .mov), в которые вредоносный код может быть внедрён через стеганографию или уязвимости. Открытие таких файлов может привести к установке вируса, краже данных или захвату удалённого управления системой.

7 основных рекомендаций, которые должны соблюдать сотрудники государственных и частных организаций для защиты от фишинговых атак:

  1. Перед открытием любого файла, ссылки или вложения тщательно проверяйте адрес отправителя, содержание письма и расширение файла.
  2. Никогда автоматически не открывайте потенциально опасные форматы, такие как .exe, .scr, .bat, .cmd, .ps1, .js, .vbs, .docm, .xlsm; проверяйте подозрительные файлы через IT‑отдел.
  3. Никогда не отправляйте пароли по электронной почте, не используйте один и тот же пароль в разных сервисах и обязательно включайте двухфакторную аутентификацию.
  4. Регулярно проверяйте, что на рабочем компьютере активированы и обновлены антивирус, EDR/агент безопасности и обновления Windows.
  5. Не отвечайте сразу на письма с пометками «срочная оплата», «важный документ», «немедленно подтвердите» — сначала запросите проверку у руководства или IT‑отдела.
  6. Используйте только документы, файлы и программы, загруженные из официальных источников; категорически запрещайте скачивание с неизвестных сайтов.
  7. Каждый сотрудник должен проходить регулярные тренинги по фишингу, вредоносным файлам, поддельной переписке и кибератакам, а также незамедлительно сообщать о любых подозрительных случаях в отдел информационной безопасности.