Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA виявила факт масового розповсюдження групою UAC-0050 електронних листів з темами «Інформація від Держспецзв'язку України» і «Державна служба України з надзвичайних ситуацій» нібито від Держспецзв'язку та Державної служби України з надзвичайних ситуацій відповідно.

Згадані листи містять посилання на архіви, розміщені на сервісі BitBucket. Вони в свою чергу містять SFX-архіви, відкриття яких призведе до встановлення в системі програми для віддаленого управління Remote Utilities та відобразить «приманку». У випадку розсилки від імені Держспецзв'язку як «приманку» використано легітимну програму CCleaner «для видалення вірусу з комп'ютера», а у розсилці від імені ДСНС – зображення з «планом евакуації».

Відповідно до статистики Bitbucket, починаючи з 23:00 21.01.2024 до 10:30 22.01.2024, шкідливі файли було завантажено більше ніж 3000 разів. Кількість успішно інфікованих комп'ютерів може сягати декількох десятків, щодо переважної більшості яких CERT-UA вжила заходів з протидії кіберзагрозі.

Це не перша подібна атака угруповання UAC-0050. Так, нещодавно зловмисники здійснили масове розповсюдження листів з темою «Запит від компанії Медок», також намагалися викрадати дані, маскуючись під МЗС України.