Хакери діяли через месенджери, повідомила команда CERT-UA. У повідомленнях вони спонукали відвідати фейкову вебсторінку благодійного фонду, з якої пропонували завантажити «документи» — виконувані файли, які, як правило, знаходяться в захищеному паролем архіві. Водночас виконуваний файл може бути надісланий безпосередньо в месенджер і здебільшого має розширення «.docx.pif».
Читайте также: В monobank з’явилася ШІ-функція, яка знаходить реквізити в завантажених зображеннях
Як тільки такий файл відкривався, запускалася шкідлива програма PLUGGYAPE, яка надає хакерам доступ до пристрою.
«Зауважимо, що у жовтні 2025 року зловмисники використовували файл з розширенням „.pdf.exe“, який забезпечував запуск лоадера, призначенням якого було завантаження Python-інтерпретатора та (з ресурсу Pastebin) Python-файлу ранньої версії PLUGGYAPE. Починаючи з грудня 2025 року виявлено удосконалену (та обфусковану) версію PLUGGYAPE (PLUGGYAPE.V2), в якій застосовано протокол MQTT, а також додано низку перевірок для протидії аналізу, зокрема запуску у віртуальному середовищі», — пояснили кіберфахівці.
В декількох з проаналізованих файлів IP-адреса сервера управління могла бути вказана не безпосередньо в коді програми, а публікувалася на ресурсах на кшталт rentry.co та pastebin.com, зокрема у BASE64-кодованому вигляді.
Читайте также: Тайвань видав ордер на арешт гендиректора OnePlus Піта Лау через найм місцевих інженерів
CERT-UA наголосила, що методи хакерів постійно еволюціонують. Тепер вони можуть писати жертві із реальних українських номерів, вільно спілкуватися українською мовою і навіть телефонувати по відео. Зловмисники також можуть показувати детальне і релевантне знання про особу або організацію.
Читайте также: «Steam — це Голіаф». Новий власник сервісу GOG хоче зробити його зручнішим на кшталт магазину Valve