Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, виявила та дослідила розповсюдження зловмисниками листів з використанням електронної поштової адреси cert-ua@ ukr . net. Листи з темою «Рекомендації CERT-UA з налаштувань програм MS Office» містять вкладений файл «ВНУТРІШНІ КІБЕРЗАГРОЗИ.chm» нібито від імені CERT-UA.

Відкриття згаданого CHM-файлу призведе до виконання JavaScript-коду, що, у свою чергу, забезпечить запуск PowerShell-скрипта, який зрештою  призведе ураження комп'ютера програмою MerlinAgent. За допомогою вірусу зловмисники отримують віддалений доступ до комп'ютера жертви та можуть виконувати команди, завантажувати і видаляти файли.

Нагадаємо, перші випадки використання MerlinAgent було зафіксовано 10 липня під час здійснення кібератаки у відношенні державної організації України. Для цього зловмисники здійснювали розсилку електронних листів з темою «Навчання по БПЛА»

cert.ua