Фейкові сайти застосунку для військових "Армія+": CERT-UA попереджає про нову кібератаку

Схема дозволяє кіберзлочинцям управляти зараженими комп’ютерами, залишаючись при цьому непомітними.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про активну кібератаку, спрямовану на користувачів додатку для військовослужбовців "Армія+".

Про це повідомила пресслужба Держспецзв’язку.

Зловмисники створили фейкові вебсайти, які імітують офіційну сторінку застосунку, і пропонують завантажити шкідливий файл "ArmyPlusInstaller-v.0.10.23722.exe".

Під час відкриття та запуску файлу користувач несвідомо активує програму, яка надає зловмисникам доступ до його комп’ютера. У процесі роботи шкідливе ПЗ:

• встановлює програму для прихованого доступу;
• генерує цифрові ключі для авторизації в системі;
• передає конфіденційні дані на сервер зловмисників через мережу Tor;
• забезпечує можливість зловмисникам отримати прихований доступ до пристрою.

Ця схема дозволяє кіберзлочинцям управляти зараженими комп’ютерами, залишаючись при цьому непомітними.

"CERT-UA відстежує цю ворожу активність за ідентифікатором UAC-0125. Є достатньо підстав вважати, що ця атака пов’язана з відомою хакерською групою UAC-0002 (Sandworm), яка раніше здійснювала подібні атаки. У першій половині 2024 року вони використовували троянські файли, замасковані під програми Microsoft Office, для зараження комп’ютерів", - йдеться в повідомленні.