З початку року фахівці CERT-UA фіксують масову розсилку електронних листів нібито від імені центральних органів виконавчої влади й обласних адміністрацій.
З початку року фахівці CERT-UA фіксують масову розсилку електронних листів нібито від імені центральних органів виконавчої влади й обласних адміністрацій.
Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA при Держспецзв’язку попередила про нову хвилю кібератак. Зловмисники в цих повідомленнях закликають користувачів терміново «оновити» мобільні застосунки широко використовуваних цивільних і військових систем.
Атака, що відстежується за ідентифікатором UAC-0252, реалізується через два основні сценарії:
Небезпечний архів: лист містить вкладення з виконуваним файлом (EXE). Його запуск одразу призводить до ураження системи шкідливим програмним забезпеченням.
Вразливе посилання: у листі міститься лінк на легітимний, але вразливий до XSS (Cross-site scripting) вебсайт.
Відвідування такого сайту активує прихований JavaScript код, який автоматично завантажує вірус на комп’ютер жертви. Для розміщення своїх скриптів і виконуваних файлів хакери використовують ресурси сервісу GitHub, щоб уникнути блокувань антивірусами.
Приклад ланцюга ураженняПротягом січня-лютого фахівці підтвердили використання хакерами одразу кількох шкідливих програм:
SHADOWSNIFF (стілер даних, завантажений із GitHub)
SALATSTEALER (програма для викрадення інформації формату Malware-as-a-Service)
DEAFTICK (примітивний бекдор, написаний на мові Go)
Окрім цього, під час дослідження репозиторіїв на GitHub експерти виявили програму-шифрувальник, яка вимагає викуп (робоча назва «AVANGARD ULTIMATE v6.0»), а також архів із готовим експлойтом для використання вразливості популярного архіватора WinRAR (CVE-2025-8088).
Детальне вивчення інструментарію та методів атаки дозволило фахівцям CERT-UA пов’язати цю активність із хакерським угрупованням, чия діяльність публічно висвітлюється в російському Telegram-каналі «PalachPro».
Нагадаємо, dev.ua поспілкувався із СЕО Alerts Bar Дмитром Ашкіназі, який розповів, як зараз працює ринок викрадених даних у даркнеті, і чому 80% спричинені саме інфостілерами.
