Ворожі хакери атакують українців фейковими листами від влади з вимогою оновити популярні застосунки

Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA при Держспецзв’язку попередила про нову хвилю кібератак. Зловмисники у цих повідомленнях закликають користувачів терміново «оновити» мобільні застосунки широко використовуваних цивільних і військових систем.

Читайте также: «Нова пошта» дозволила залишати речі у поштоматах на зберігання: як скористатись послугою

Як працює схема зараження

Атака, що відстежується за ідентифікатором UAC-0252, реалізується через два основні сценарії:

• Небезпечний архів: лист містить вкладення з виконуваним файлом (EXE). Його запуск одразу призводить до ураження системи шкідливим програмним забезпеченням.

• Вразливе посилання: у листі міститься лінк на легітимний, але вразливий до XSS (Cross-site scripting) вебсайт.

Відвідування такого сайту активує прихований JavaScript код, який автоматично завантажує вірус на комп’ютер жертви. Для розміщення своїх скриптів та виконуваних файлів хакери використовують ресурси сервісу GitHub, щоб уникнути блокувань антивірусами.

Протягом січня-лютого фахівці підтвердили використання хакерами одразу кількох шкідливих програм:

Читайте также: Toloka.vc інвестував $745 000 в американського розробника промислових роботів Lucid Bots

• SHADOWSNIFF (стілер даних, завантажений з GitHub)

• SALATSTEALER (програма для викрадення інформації формату Malware-as-a-Service)

• DEAFTICK (примітивний бекдор, написаний на мові Go)

Окрім цього, під час дослідження репозиторіїв на GitHub експерти виявили програму-шифрувальник, яка вимагає викуп (робоча назва «AVANGARD ULTIMATE v6.0»), а також архів із готовим експлойтом для використання вразливості популярного архіватора WinRAR (CVE-2025-8088).

Детальне вивчення інструментарію та методів атаки дозволило фахівцям CERT-UA пов’язати цю активність із хакерським угрупованням, чия діяльність публічно висвітлюється у російському Telegram-каналі «PalachPro».

Нагадаємо, dev.ua поспілкувався з СЕО Alerts Bar Дмитром Ашкіназі, який розповів, як зараз працює ринок викрадених даних в даркнеті і чому 80% спричинені саме інфостілерами.