Хакери націлилися на пристрої українських чоловіків призовного віку за допомогою шкідливого програмного забезпечення MeduzaStealer, яке поширюється через Telegram, виявили дослідники.
MeduzaStealer раніше використовувався пов’язаними з Росією зловмисниками для отримання облікових даних для входу в систему, інформації про комп’ютер, історію переглядів і дані з менеджерів паролів. Минулого року суб’єкт загрози, відомий як UAC-0050, розгорнув це шкідливе програмне забезпечення проти цілей в Україні та Польщі.
Згідно з новим звітом української команди реагування на комп’ютерні надзвичайні ситуації (CERT-UA), нещодавно невідомі хакери розповсюдили MeduzaStealer через Telegram-акаунт, замаскований під бота технічної підтримки для користувачів нового українського урядового додатку під назвою «Резерв+».
Запущений на початку цього року, додаток дозволяє українським військовозобов’язаним оновлювати свої персональні дані онлайн, а не відвідувати місцеві військкомати. Враховуючи чутливість даних, які збирає додаток, він став привабливою мішенню для хакерів.
У кампанії, проаналізованій CERT-UA, хакери видавали себе за службу підтримки «Резерв+» і просили користувачів завантажити ZIP-архів, що містив нібито інструкції про те, як правильно оновити персональні дані, які вимагають українські військові чиновники.
Після відкриття шкідливий файл заражав цільові пристрої вірусом MeduzaStealer, призначеним для викрадення документів з певними розширеннями перед самознищенням.
У звіті CERT-UA не згадується, скільки українців стали жертвами атаки або як хакери можуть використовувати отримані дані. Станом на липень понад 4,5 мільйона українців використовували «Резерв+» для оновлення своїх персональних даних.
На початку серпня Міністерство оборони України повідомило про виявлення трьох фейкових додатків «Резерв+», які, ймовірно, призначені для збору персональних даних українських призовників і подальшого використання їх для нових атак або інформаційно-психологічних операцій.
Пов’язані з Росією хакери раніше вже зловживали популярними мобільними додатками та месенджерами, зокрема Signal і Telegram, для атак на українських військовослужбовців.
Наприклад, у вересні хакери використовували Signal для зараження пристроїв українських солдатів шкідливим програмним забезпеченням, яке передавалося через файли, замасковані під військове програмне забезпечення. За даними CERT-UA, метою цих атак була крадіжка облікових даних для спеціальних військових систем та визначення місцезнаходження солдатів.
Хакери атакують потенційних призовників України за допомогою шкідливого програмного забезпечення MeduzaStealer
