В Україні вже тридцять п’яту добу триває героїчне протистояння російському воєнному вторгненню. Воно відбувається і в кіберпросторі. Останнім часом зафіксовано, що українцям приходять листи з програмою, яка викрадає паролі та файли, передає редакція.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка працює при Держспецзв’язку, виявила масове розповсюдження серед громадян України та вітчизняних організацій електронних листів з темою “Нова програма для запису в журнал”. Текст електронного листа містить повідомлення, начебто, від Міністерства освіти та науки України щодо “електронних навчальних журналів”, а також посилання на “програму” та пароль на архів.

У разі відкриття архіву та запуску EXE-файлу, комп’ютер буде уражено шкідливою програмою, яку, за сукупністю ознак (незважачи на деякі відмінності), класифіковано як MarsStealer.

MarsStelaer – шкідлива програма-стілер, розроблена з використанням мов програмування C/ASM. Основний функціонал – збір інформації про комп’ютер, викрадення аутентифікаційних даних з Інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів, а також завантаження і запуск виконуваних файлів і виготовлення знімку екрану.

Ворог надсилає українцям листи з програмою, яка викрадає паролі та файли, фото-1
Шкідлива програма продається на тематичних форумах. Вірогідно, після призупинки продажів стілера Racoon, використовуватиметься як альтернатива. Зауважимо, що заявлений функціонал, який передбачає уникнення випадків застосування стілера у відношенні “країн СНД”, відключено шляхом патчингу викликів відповідних функцій.

Виявлена активність відстежується за ідентифікатором UAC-0041 як діяльність однієї з груп, що мають на меті викрадення автентифікацйних даних користувачів.

У разі виявлення вказаного повідомлення не відкривайте файли та негайно повідомте про це на пошту cert@cert.gov.ua.