详细内容或原文请订阅后点击阅览
威胁参与者 UAC-0255 冒充 CERT-UA 通过网络钓鱼传播 AGEWHEEZE 恶意软件
威胁行为者冒充 CERT-UA 发送带有 AGEWHEEZE 恶意软件的网络钓鱼电子邮件,诱骗受害者安装虚假的“安全工具”。一个被追踪为 UAC-0255 的威胁参与者在网络钓鱼活动中冒充 CERT-UA,向大约 100 万用户发送电子邮件。这些消息敦促受害者从 Files.fm 下载受密码保护的存档并安装假冒的“专用软件”,[...]
来源:Security Affairs _恶意软件威胁参与者 UAC-0255 冒充 CERT-UA 通过网络钓鱼传播 AGEWHEEZE 恶意软件
威胁行为者冒充 CERT-UA 发送带有 AGEWHEEZE 恶意软件的网络钓鱼电子邮件,诱骗受害者安装虚假的“安全工具”。
一个被追踪为 UAC-0255 的威胁参与者在网络钓鱼活动中冒充 CERT-UA,向大约 100 万用户发送电子邮件。这些消息敦促受害者从 Files.fm 下载受密码保护的存档,并安装虚假的“专用软件”,该软件实际上部署了 AGEWHEEZE 远程访问工具,使攻击者能够控制受感染的系统。
“国家网络事件、网络攻击和网络威胁响应小组 CERT-UA 记录了 2026 年 3 月 26 日至 27 日涉嫌代表 CERT-UA 分发电子邮件的案例,敦促人们从 Files.fm 服务下载受密码保护的存档(“CERT_UA_protection_tool.zip”、“protection_tool.zip”)并安装“专用软件”。 CERT-UA 发布的咨询报告中写道:“我们发现,提供安装的可执行文件(内部软件包名称:“/example.com/tvisor/agent”)是一个用于远程计算机控制的多功能软件工具,被 CERT-UA 分类为 AGEWHEEZE。”
AGEWHEEZE 支持命令执行、文件管理、屏幕捕获、输入控制和进程/服务管理。它通过注册表、启动或计划任务确保持久性,并将其自身安装在 AppData 路径中。该恶意软件通过 WebSocket 与其服务器通信,还可以窃取剪贴板数据、运行命令和控制系统操作。
该活动针对政府组织、医疗中心、安全公司、教育机构、金融机构、软件开发公司等。
假冒网站 cert-ua[.]tech 包含声称对此次攻击负责的 Telegram 频道的链接,确认了 UAC-0255 的攻击行为。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼
(安全事务 - 黑客攻击、恶意软件)