Зі скомпрометованих обліковок йде масова розсилка листів з вірусами RemcosRAT та MeduzaStealer

«Урядова команда реагування на комп'ютерні надзвичайні події України» (CERT-UA) виявила масове розповсюдження електронних листів з темою «судових претензій» і «заборгованості» та додатками у вигляді вкладених RAR-архівів, захищених паролем.

У випадку відкриття такого архіву та запуску виконуваних файлів комп’ютер може бути уражений програмами RemcosRAT (ідентифікатор ліцензії: 3DBAF89B8E287E6A5221436A08EAA6B8, ідентифікатор кампанії: «DaVinci») або MeduzaStealer. При цьому, зокрема, застосовано Autoit-інжектор.

Сервери управління RemcosRAT типово розміщено на технічному майданчику малайзійського хостинг-провайдера Shinjiru.

Важливо, що для розсилання електронних листів використано легітимні скомпрометовані облікові записи, в т.ч. в домені gov.ua. Крім того, виявлено електронні листи, що свідчать про спрямування кібератаки проти органів державної влади Польщі.