Ukrán tartalékos katonákat célzó kibertevékenység
Az ukrán CERT-UA a @reserveplusbot fiókon keresztül olyan üzenetek terjesztéséről kapott információt, amelyek „speciális szoftver” telepítésének szükségességéről szólnak, és amelyekhez a „RESERVPLUS.zip” archívumot csatolták. Az archívumról kiderült, hogy a MEDUZASTEALER fájllopó kártevőt tartalmazza. A MeduzaStealert korábban Oroszországhoz kötődő kiberszereplők használták arra, hogy bejelentkezési adatokat, számítógépes információkat, böngészési előzményeket és jelszókezelők adatait megszerezzék. Tavaly az UAC-0050 néven ismert kiberszereplő ukrajnai és lengyelországi célpontok ellen vetette be a rosszindulatú programot. Az év elején elindított alkalmazás lehetővé teszi a katonai szolgálatra kötelezett ukrán férfiak számára, hogy a helyi sorozási irodák felkeresése helyett online frissítsék személyes adataikat. Tekintettel az alkalmazás által gyűjtött adatok érzékenységére, az alkalmazás vonzó célponttá vált a hackerek számára. A CERT-UA által elemzett kampányban a hackerek a Reserve+ ügyfélszolgálatának adták ki magukat, és arra kérték a felhasználókat, hogy töltsenek fel egy ZIP-archívumot, amely állítólagos utasításokat tartalmaz arra vonatkozóan, hogyan kell helyesen frissíteni az ukrán katonai tisztviselők által megkövetelt személyes adatokat. Megnyitás után a rosszindulatú fájl megfertőzte a célzott eszközöket a MeduzaStealer programmal, amelyet arra terveztek, hogy bizonyos kiterjesztésekkel rendelkező dokumentumokat lopjon el, mielőtt önmegsemmisítésre kerülne sor. A CERT-UA csapata intézkedéseket tett a fenyegetés minimalizálása érdekében.
