Державна служба спеціального зв’язку та захисту інформації України попереджає про нову хвилю кібератак на державні установи, які маскують під повідомлення про завершення онлайн-курсів на платформі для навчання Prometheus. Про це повідомляється на сайті Держспецзв’язку.
За даними відомства, хакерське угруповання UAC-0057 розсилає фішингові листи, видаючи їх за повідомлення про успішне проходження навчання. Мета атак – непомітно встановити шкідливе програмне забезпечення. Атаки розпочалися навесні 2026 року. Для розсилань хакери часто використовують зламані акаунти українських підприємств та організацій.
Зокрема, користувачам надходять листи з темами про згенерований сертифікат нібито від адреси [email protected]. У листі міститься PDF-файл, який імітує офіційне повідомлення від Prometheus. Усередині розміщено посилання, що часто веде на домени в зоні .icu. Після переходу завантажується ZIP-архів зі шкідливим JavaScript-файлом, запуск якого запускає зараження системи.
Фахівці зазначають, що на фінальному етапі атаки на пристрій може бути встановлений компонент фреймворку Cobalt Strike, який дає змогу хакерам віддалено керувати зараженим комп’ютером. Інфраструктура управління водночас приховується через сервіси Cloudflare.
У Держспецзв’язку рекомендують адміністраторам і фахівцям з кібербезпеки вжити базових заходів захисту, зокрема обмежити запуск wscript.exe для звичайних користувачів.
Також українців закликають бути уважними, перевіряти адресу відправника листів і не відкривати підозрілі вкладення чи посилання навіть у PDF-документах.