Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA отримала інформацію щодо розповсюдження підозрілих повідомлень за допомогою облікового запису Telegram @reserveplusbot, який у травні 2024 року зазначався як один із способів зв'язку з технічною підтримкою “Резерв+”.
Згадані повідомлення містили текст із закликом до встановлення "спеціального програмного забезпечення", а також файл з назвою "RESERVPLUS.zip". Натомість, в розповсюджуваному ZIP-архіві знаходився виконуваний EXE-файл "installer.exe" (дата компіляції: 2024-10-15 15:32:21), запуск якого призводив до завантаження іншого файлу "install.exe" (дата компіляції: 2024-10-15 14:16:44), який, у свою чергу, забезпечував ураження комп'ютера шкідливим програмним забезпеченням MEDUZASTEALER (дата компіляції: 2024-10-10 07:03:40).
Відповідно до конфігураційного файлу зловмисне ПЗ було налаштоване для викрадення файлів з розширеннями ".txt, .doc, .docx, .pdf, .xls, .xlsx, .log, .db, .sqlite", і подальшого самовидалення.
З метою обходу програмних засобів захисту каталог, до якого зберігався файл шкідливої програми, за допомогою PowerShell-командлету додавався до виключень Microsoft Defender (приклад: 'Add-MpPreference -ExclusionPath "%USERPROFILE%\yqpedcpefpenrwim"'). Для мінімізації вірогідності реалізації кіберзагрози CERT-UA вжито відповідних технічних заходів.