Государственная техническая служба (ГТС) заявила о создании киберпреступниками фишингового ресурса, имитирующего сайт для установки NCALayer, который необходим для работы с ЭЦП.
Ресурс находится по адресу: hxxps://ncalayer.info/update.php. При его открытии под видом обновления для NCALayer загружается и запускается вредоносная программа типа Trojan Downloader.
После цепочки расшифрования и загрузок, которая включает популярный репозиторий кода GitHub, на компьютер устанавливается вредоносное программное обеспечение Venom RAT v6.0.1.
Особенностью данной вредоносной программы является то, что она обладает функционалом кейлоггера, кражи данных, скрытного дистанционного управления компьютером (VNC), а также управления веб-камерой. В конечном результате злоумышленник имеет возможность считывать информацию, набираемую на клавиатуре, просматривать пароли, в том числе с браузеров, а также установить сторонние приложения.
В ГТС рекомендуют не загружать и не устанавливать подобные программы и не переходить по подозрительным ссылкам, так как оно может угрожать безопасности личных данных. В ГТС напомнили, что официальным интернет-ресурсом для установки NCALayer является https://ncl.pki.gov.kz/kz.
