Зловмисники розсилають українцям віруси під виглядом рекомендацій від CERT-UA — Держспецзвʼязку

Українцям почали розсилати листи, що містять небезпечне вкладення, відкриття якого призводить до ураження комп’ютера програмою MerlinAgent.

Про це повідомляє Державна служба спеціального зв’язку та захисту інформації.

"Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 04 серпня 2023 року отримано інформацію щодо розповсюдження листів з темою "Рекомендації CERT-UA з налаштувань програм MS Office" та вкладенням у вигляді файлу "ВНУТРІШНІ КІБЕРЗАГРОЗИ.chm", нібито, від імені "CERT-UA" з використанням електронної поштової адреси cert-ua@ukr.net", — йдеться у повідомленні.

У службі пояснили, що відкриття цього файлу призведе до виконання JavaScript-коду, який, своєю чергою запустить PowerShell-скрипт, що завантажить, розшифрує та декомпресує GZIP-архів "ctlhost.exe.tmp" із виконуваним файлом "ctlhost.exe" всередині. Запуск цього файлу призведе до ураження комп’ютера програмою MerlinAgent.

"Один з перших випадків використання MerlinAgent зафіксовано 10 липня 2023 року під час здійснення кібератаки у відношенні державної організації України, для чого здійснено розсилку електронних листів з темою "Навчання по БПЛА" (CERT-UA#6995)", — зазначається в дописі.

Описана активність відстежується за ідентифікатором UAC-0154.