Зловмисники продовжують використовувати проблеми, що масово хвилюють українців, для розповсюдження шкідливого програмного забезпечення. Фахівці CERT-UA зафіксували масову розсилку електронних листів, які спекулюють на тематиці «Київстару» та СБУ.
Так, на електронні скриньки українців почати надходити листи щодо «Заборгованості за договором Київстар». Вони мають вкладення у вигляді архіву «Заборгованість абонента.zip», в якому знаходиться однойменний архів захищений паролем. В останньому знаходиться документ з макросом «Заборгованість абонента.doc». У разі активації код макросу здійснить завантаження та запуск файлу GB.exe. Це SFX-архів, що містить BATCH-скрипт для завантаження та запуску виконуваного файлу wsuscr.exe, призначеного для запуску програми для віддаленого управління RemcosRAT.
Разом з тим CERT-UA зафіксували розповсюдження листів з темою «Запит СБУ» та вкладенням у вигляді архіву «Документи.zip». Він містить захищений паролем RAR-архів «Запит.rar» з виконуваним файлом «Запит.exe». Відкриття архіву та запуск файлу призводять до зараження системи програмою віддаленого доступу RemcosRAT.
Фахівці CERT-UA зазначають, що крім типового для UAC-0050 розміщення серверів управління RemcosRAT на технічному майданчику малайзійського хостинг-провайдера Shinjiru, їх також розміщено в межах автономної системи AS44477.
Фахівці CERT-UA рекомендують фільтрувати на рівні поштових шлюзів електронні листи з додатками, що захищені паролями (як архіви, так і документи).