Команда реагування на комп’ютерні надзвичайні ситуації України – CERT-UA розкрила деталі нової кампанії, спрямованої проти урядових установ і муніципальних медичних закладів — насамперед клінік та екстрених лікарень. Зловмисники розгортали шкідливе програмне забезпечення, здатне викрадати конфіденційні дані з браузерів на основі Chromium та застосунку WhatsApp. Активність зафіксована у березні–квітні і пов’язана з угрупованням UAC-0247; походження групи наразі не встановлено. Атака починається з фішингового листа, замаскованого під пропозицію гуманітарної допомоги. Жертву спонукають натиснути посилання, яке веде або на легітимний сайт, зламаний через уразливість міжсайтового скриптингу, або на підроблений ресурс, згенерований за допомогою ШІ-інструментів.

Після кліку на посилання на комп’ютер жертви завантажується архів із LNK-файлом — ярликом Windows, що запускає вбудований обробник HTA. Той, своєю чергою, з’єднується із зовнішнім ресурсом для завантаження і виконання шкідливого коду. На заражених машинах розгортається ціла екосистема інструментів: бекдор AGINGFLY — особливість якого в тому, що його командні обробники не вбудовані у тіло шкідника, а завантажуються із сервера управління як вихідний код і компілюються безпосередньо на ураженій системі, що суттєво ускладнює виявлення. Зв’язок із командним сервером здійснюється через вебсокети, весь трафік зашифровано алгоритмом AES-CBC зі статичним ключем. Для закріплення у системі використовується PowerShell-скрипт, який автоматично отримує актуальну IP-адресу командного сервера з Telegram-каналу.