Хакери надсилають українським службовцям листи про скорочення зарплати. У посиланні вірус

Урядова команда реагування на комп’ютерні надзвичайні ситуації (CERT-UA) виявила протягом березня не менше трьох кібератак на органи державної влади та об’єкти критичної інфраструктури України з метою викрадення конфіденційних даних.

Кіберзлочинці використовували скомпрометовані облікові записи електронної пошти для надсилання українським службовцям фішингових повідомлень із посиланнями на нібито урядові документи, розміщені на DropMeFiles і Google Drive. У деяких випадках в листах містились вкладення PDF.

Цифрові листи мали на меті викликати помилкове відчуття терміновості, стверджуючи, що українська державна установа планує скоротити зарплати. Одержувача листа закликали натиснути на посилання, щоб переглянути список постраждалих працівників.

Відвідування шкідливого посилання призводить до запуску завантажувача Visual Basic Script (VBS), призначеного для отримання та виконання сценарію PowerShell, здатного збирати файли, що відповідають певному набору розширень, і робити скріншоти.

Діяльність, пов’язана з цим кластером загроз, який відстежується як UAC-0219, триває щонайменше з осені 2024 року, причому для реалізації своїх цілей у ранніх ітераціях використовувалася комбінація двійкових файлів EXE, викрадача VBS і законного програмного забезпечення для редагування зображень під назвою IrfanView.