Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Ваше приложение требует внимания (и паролей). Теперь взломщики притворяются государством, чтобы получить скрытый доступ

leer en español

CERT-UA Украина UAC-0252 инфостилер правительство
Ваше приложение требует внимания (и паролей). Теперь взломщики притворяются государством, чтобы получить скрытый доступ
CERT-UA Украина UAC-0252 инфостилер правительство

Специалисты обнаружили новые программы для кражи данных и шифровальщик в инфраструктуре атакующих.

image

В начале 2026 года злоумышленники начали массово рассылать письма от имени украинских государственных органов. Получателям предлагают «обновить мобильные приложения» популярных гражданских и военных сервисов. За такими письмами скрывается вредоносная кампания, в которой используют сразу несколько программ для кражи данных и удалённого доступа к компьютерам.

О новой активности сообщила Государственная служба специальной связи и защиты информации Украины через правительственную команду реагирования на компьютерные чрезвычайные события CERT-UA. Группировка получила идентификатор UAC-0252. С января 2026 года специалисты фиксируют многочисленные письма, якобы отправленные от имени центральных органов исполнительной власти и областных администраций.

Письмо содержит архив с исполняемым файлом либо ссылку на скомпрометированный сайт. Во втором случае ссылка ведёт на легитимный ресурс, уязвимый для межсайтового выполнения сценариев. После перехода страница запускает вредоносный сценарий на языке JavaScript, который загружает на компьютер исполняемый файл. Часть вредоносных файлов и сценариев злоумышленники разместили на площадке GitHub, маскируя под обычные проекты.

В атаках применяют несколько вредоносных программ. Среди них стилеры SHADOWSNIFF и SALATSTEALER, которые крадут учётные данные и другую конфиденциальную информацию. Также зафиксирован примитивный бэкдор DEAFTICK, написанный на языке Go. Такой набор позволяет атакующим получить доступ к заражённой системе и собрать данные пользователя.

Во время изучения инфраструктуры специалисты обнаружили в одном из репозиториев GitHub ещё один подозрительный инструмент. Речь идёт о программе с признаками шифровальщика под внутренним названием «AVANGARD ULTIMATE v6.0». Там же лежал архив с эксплойтом для уязвимости архиватора WinRAR (CVE-2025-8088), что указывает на попытки использовать разные способы проникновения в системы.

Анализ инструментов и инфраструктуры позволил связать кампанию с деятельностью лиц, которые публикуют материалы в Telegram-канале PalachPro. CERT-UA продолжает отслеживать активность группы под идентификатором UAC-0252.