Держспецзв’язку: виявлено кібератаку з використанням сайтів, які імітують сторінку "Армія+"
Київ • УНН
CERT-UA виявила кібератаку на користувачів додатку "Армія +" через фейкові вебсайти. Зловмисники використовують шкідливе ПЗ для отримання прихованого доступу до комп'ютерів через мережу Tor.
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про активну кібератаку, спрямовану на користувачів додатку для військовослужбовців "Армія +", повідомили у середу в Держспецзв’язку, передає УНН.
Зловмисники створили низку фейкових вебсайтів, які імітують офіційну сторінку додатку. При відвідуванні таких ресурсів користувачам пропонується завантажити виконуваний файл під назвою "ArmyPlusInstaller-v.0.10.23722.exe" (назва може змінюватися)
При завантаженні й запуску файлу користувач несвідомо активує програму, яка відкриває доступ до його комп’ютера для зловмисників. Під час роботи шкідлива програма:
-Встановлює на комп’ютер програму для прихованого доступу.
-Генерує цифрові ключі для входу в систему.
-Відправляє конфіденційні дані на сервер зловмисників через мережу Tor.
-Створює можливість для прихованого доступу до комп’ютера зловмисниками.
Ця схема дозволяє кіберзлочинцям отримувати контроль над інфікованими комп’ютерами, залишаючись при цьому непомітними.
CERT-UA відстежує цю ворожу активність за ідентифікатором UAC-0125.
Є достатньо підстав вважати, що ця атака пов’язана з відомою хакерською групою UAC-0002 (Sandworm), яка раніше здійснювала подібні атаки. У першій половині 2024 року вони використовували троянські файли, замасковані під програми Microsoft Office, для зараження комп’ютерів", - вказали в Держспецзв’язку.
У відомстві закликали бути уважними та звертатися до CERT-UA, якщо підозрюєте, що могли стати жертвою атаки: [email protected], моб.+38 (044) 281-88-25.