Вчора Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA зафіксоване масове розповсюдження електронних листів зі шкідливим програмним забезпеченням, що надсилаються начебто від імені Служби безпеки України.

Листи містять посилання щодо завантаження файлу з назвою "Документи.zip", насправді ж перехід за посиланням ініціює завантаження MSI-файлу, відкриття якого призведе до запуску шкідливої програми ANONVNC, що дозволяє зловмисникам отримати прихований несанкціонований доступ до комп’ютера жертви.

Фахівці повідомляють, що шкідлива програма ANONVNC, як її називає розробник, містить конфігураційний файл, формат якого ідентичний до конфігураційного файлу програми MESHAGENT. Вихідний код цієї програми доступний на Github (https://github.com/Ylianst/MeshAgent), що може свідчити про запозичення вихідного коду.

CERT-UA виявлено вже більше 100 уражених комп'ютерів, зокрема, серед державних органів та органів місцевого самоврядування.

Зауважимо, що пов'язані кібератаки здійснюються, щонайменше, з липня 2024 року та можуть мати більш широку географію; тільки в каталогах файлового сервісу pCloud, починаючи з 01.08.2024, розміщено більше тисячі EXE та MSI файлів (до статті додано й інші індикатори, не пов'язані з кампанією 12.08.2024).

CERT-UA було вжито невідкладних заходів щодо зменшення вірогідності реалізації кіберзагрози.