Нова кіберзагроза для українських військових: розсилка небезпечних файлів у Signal, які маскуються під рекрутингові повідомлення
Експерти компанії Trendmicro та CERT-UA повідомили про новий вид кібератак в месенджері Signal, спрямованих на військовослужбовців Збройних Сил України. Атаки відбуваються під прикриттям рекрутингових повідомлень від 3-ї окремої штурмової бригади та Армії оборони Ізраїлю (ЦАХАЛ).
Спеціалісти виявили підозрілі файли, що містили LNK-файли із запуском шкідливих програм REMCOSRAT і REVERSESSH. Зазначено, що атаки розпочалися не пізніше листопада 2023 року та використовували месенджер Signal для поширення.
Зловмисники використовують обфусковані команди для запуску шкідливих програм та документів-приманок, таких як “опитування полоненого”, “геолокації” та інші, які цікавлять військових.
[integrate_google_drive data=”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”]
Хоча атаки використовують публічно доступні інструменти, вони мають унікальні ознаки та слідують за ідентифікатором UAC-0184. В разі виявлення підозрілої активності, рекомендується негайно повідомляти Центр кібербезпеки ІТС (в/ч А0334; email: [email protected]).