Злоумышленники рассылают украинцам вирусы под видом рекомендаций от CERT-UA — Госспецсвязи

Украинцам стали рассылать письма, содержащие опасное вложение, открытие которого приводит к поражению компьютера программой MerlinAgent.

Об этом сообщает Государственная служба специальной связи и защиты информации.

"Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA 04 августа 2023 года получена информация о распространении писем с темой "Рекомендации CERT-UA по настройкам программ MS Office" и вложению в виде файла "ВНУТРЕННИЕ КИБЕРЗАГРОЗЫ.chm", от имени "CERT-UA" с использованием электронного почтового адреса cert-ua@ukr.net", - говорится в сообщении.

В службе объяснили, что открытие этого файла приведет к выполнению JavaScript-кода, который в свою очередь запустит PowerShell-скрипт, который загрузит, расшифрует и декомпрессирует GZIP-архив "ctlhost.exe.tmp" с исполняемым файлом "ctlhost.exe" внутри. Запуск этого файла приведет к поражению компьютера программой MerlinAgent.

"Один из первых случаев использования MerlinAgent зафиксирован 10 июля 2023 во время осуществления кибератаки в отношении государственной организации Украины, для чего осуществлена рассылка электронных писем с темой "Обучение по БПЛА" (CERT-UA#6995)", — отмечается в сообщении.

Описанная активность отслеживается по идентификатору UAC-0154.