CERT-UA обнаружила кибератаку на пользователей приложения "Армия +" через фейковые веб-сайты. Злоумышленники используют вредоносное ПО для получения скрытого доступа к компьютерам через сеть Tor.
Правительственная команда реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA предупреждает об активной кибератаке, направленной на пользователей приложения для военнослужащих "Армия +", сообщили в среду в Госспецсвязи, передает УНН.
Злоумышленники создали ряд фальшивых веб-сайтов, имитирующих официальную страницу приложения. При посещении таких ресурсов пользователям предлагается загрузить исполняемый файл под названием "ArmyPlusInstaller-v.0.10.23722.exe" (название может меняться)
— говорится в сообщении Госспецсвязи.
При загрузке и запуске файла пользователь непреднамеренно активирует программу, которая открывает доступ к его компьютеру для злоумышленников. Во время работы вредоносная программа:
-Устанавливает на компьютер программу для скрытого доступа.
-Генерирует цифровые ключи для входа в систему.
-Отправляет конфиденциальные данные на сервер злоумышленников через сеть Tor.
-Создает возможность для скрытого доступа к компьютеру злоумышленниками.
Эта схема позволяет киберпреступникам получать контроль над зараженными компьютерами, оставаясь при этом незаметными.
CERT-UA отслеживает эту враждебную активность под идентификатором UAC-0125.
Есть достаточно оснований считать, что эта атака связана с известной хакерской группой UAC-0002 (Sandworm), которая ранее совершала подобные атаки. В первой половине 2024 года они использовали троянские файлы, замаскированные под программы Microsoft Office, для заражения компьютеров", — указали в Госспецсвязи.
В ведомстве призвали быть внимательными и обращаться в CERT-UA, если подозреваете, что могли стать жертвой атаки: [email protected], моб.+38 (044) 281-88-25.