Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA отримала інформацію про активну кібератаку, спрямовану на користувачів додатку для військовослужбовців.
Зловмисники створили низку фейкових вебсайтів, які імітують офіційну сторінку додатку. При відвідуванні таких ресурсів користувачам пропонується завантажити виконуваний файл під назвою «ArmyPlusInstaller-v.0.10.23722.exe» (назва може змінюватися).
При завантаженні й запуску файлу користувач несвідомо активує програму, яка відкриває доступ до його комп’ютера для зловмисників. Під час роботи шкідлива програма:
- Встановлює на комп’ютер програму для прихованого доступу.
- Генерує цифрові ключі для входу в систему.
- Відправляє конфіденційні дані на сервер зловмисників через мережу Tor.
- Створює можливість для прихованого доступу до комп’ютера зловмисниками.
CERT-UA відстежує цю ворожу активність за ідентифікатором UAC-0125. Є достатньо підстав вважати, що ця атака пов’язана з відомою хакерською групою UAC-0002 (Sandworm), яка раніше здійснювала подібні атаки. У першій половині 2024 року вони використовували троянські файли, замасковані під програми Microsoft Office, для зараження комп’ютерів.