Електронний лист містить вкладення "Остаточний платіж" у вигляді TGZ-архіву.
Архів містить EXE-файл, призначений для завантаження, декодування та запуску в пам'яті шкідливої .NET-програми RelicSource, яка є інсталятором, що забезпечує дешифрування даних, які зберігаються в ресурсах та запуск (в т.ч. шляхом інжектування) отриманого пейлоаду. Передбачена також відправка нотифікацій до Telegram та інше.
Відкриття архіву призведе до завантаження на комп'ютері шкідливих програм та, як наслідок, викрадення даних.
Кібератаку зафіксувала урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв'язку.
Атаку пов'язують із угрупованням UAC-0041 (російські хактивісти).
Будьте уважні!
Джерело: Державна служба спеціального зв'язку та захисту інформації України
