Дослідники Google викрили російську кібероперацію, спрямовану на українських призовників. Метою було розповсюдження шкідливого програмного забезпечення для пристроїв Windows і Android, яке викрадало інформацію.
Шкідливе ПЗ поширювалося переважно через Telegram-канал Civil Defense. На каналі публікувались пости про "незаконні дії працівників ТЦК та поліції" та пропонувалося завантажити з сайту додаток для Android та Windows, який у реальному часі показуватиме розташування мобільних постів.
Google повідомляє, що розповсюджуване ПЗ насправді є крадієм інформації. Дослідники відстежують пов'язану з росією групу як UNC5812.
Версії для Windows та Android спиралися на вже готові інфокрадії. Для Android — це варіант CraxsRat, пакету, який реалізує багато функцій бекдору.
У версіях для Android хакери обманом намагались змусити користувачів вимкнути Play Protect — сервіс, який автоматично сканує пристрої на наявність шкідливого програмного забезпечення, як з Google Play, так і зі сторонніх джерел.
Тим часом шкідливе програмне забезпечення для Windows використовує кастомну версію Pronsis Loader для встановлення крадія PureStealer. Також на сайті (який вже недоступний) рекламувалась підтримка macOS та iOS.
Дослідники виявили, що шахраї купували рекламу в інших популярних Telegram-каналах. 18 вересня 2024 року було помічено, що канал із понад 80 000 підписників, присвячений попередженням про ракетну небезпеку, рекламував Civil Defense.
Операція UNC5812 — лише одна з багатьох, спрямованих на підтримку вторгнення росії в Україну. Минулого тижня Amazon повідомила, що викрила групу загроз APT29, яку підтримує служба зовнішньої розвідки росії (СЗР). Вона займалась розсилкою шкідливих електронних листів, замаскованих під Amazon або Microsoft, з метою викрадення облікових даних. APT29 також відстежується під іменами Cozy Bear, the Dukes, Cloaked Ursa, Dark Halo, BlueBravo і Midnight Blizzard.
Електронні листи надсилалися адресатам, пов'язаним з українськими державними установами, підприємствами та військовими. Операція була виявлена українською командою реагування на комп'ютерні надзвичайні ситуації CERT-UA.