Команде реагирования на чрезвычайные события Украины CERT-UA поступила информация о массовом распространении электронных писем с темой «Новая программа для записи в журнале». Их получали как обычные украинцы, так и украинские организаций. Текст электронного письма содержал уведомления Министерства образования и науки Украины о «электронных учебных журналах», а также ссылку на «программу» и пароль на архив.
«В случае открытия архива и запуска EXE-файла, компьютер будет поражен вредоносной программой, которая, по совокупности признаков (несмотря на некоторые отличия), классифицирована как MarsStealer. MarsStelaer — вредоносная программа-стиллер, разработанная с использованием языков программирования C/ASM. Основной функционал — сбор информации о компьютере, похищение аутентификационных данных из интернет-браузеров, плагинов крипто-кошельков, программ многофакторной аутентификации, похищение файлов, а также загрузка и запуск исполняемых файлов и изготовление снимка экрана», — сказано в официальной публикации.
Вирус MarsStelaer продается на тематических форумах. По данным CERT-UA, после приостановки продаж стиллера Racoon, он выступает в качестве альтернативы.
«Заметим, что заявленный функционал, предусматривающий избегание случаев применения стиллера в отношении «стран СНГ», отключен путем патчинга вызовов соответствующих функций. Выявленная активность отслеживается по идентификатору UAC-0041 как деятельность одной из групп, имеющих целью похищение аутентификации пользователей», — добавили украинские специалисты.
Ранее команда CERT-UA сообщила о рассылке на почту украинским госорганам писем с темой «Задолженность по зарплате» и прикрепленной таблицей «Задолженность по зарплате.xls». В виде вложения были добавлены кодированные данные, которые после активации декодировал макрос и создавал EXE-файл «Base-Update.exe» на компьютере жертвы и запускал его. Затем этот файл загружал и запускал другой загрузчик, а уже тот обеспечивал последующие загрузку и запуск на компьютере сразу двух вредоносных программ: GraphSteel и GrimPlant.