Протягом березня хакери розсилають у Signal фішингові повідомлення працівникам підприємств оборонно-промислового комплексу та українським військовим. Нову активність помітила урядова команда CERT-UA.
Хакери маскували вкладені файли під звіт із результатами наради. Деякі повідомлення надсилали від імені знайомих контактів (які вже були зламані перед цим), щоб підвищити довіру.
Фішингові архіви містили: файл-приманку із розширенням pdf і виконуваний файл DarkTortilla — криптор/лоадер, який розшифровує та запускає засіб для віддаленого керування DarkCrystal RAT (DCRAT).
CERT-UA відстежує цю активність під ідентифікатором UAC-0200 щонайменше з літа 2024 року. А починаючи з лютого 2025 року зміст повідомлень-приманок стосується БПЛА, засобів РЕБ та інших військових технологій.
Нагадаємо, Signal перестав реагувати на запити українських правоохоронців на тлі політичних змін у США. У месенджері був встановлений окремий канал для комунікації з українськими правоохоронцями, і раніше на такі звернення реагували.
