{
	"id": "e35168e2-34c2-4d86-856f-a9cdd28e30dc",
	"created_at": "2026-04-06T00:15:57.770013Z",
	"updated_at": "2026-04-10T03:21:05.421928Z",
	"deleted_at": null,
	"sha1_hash": "00d2bcebb3ed668b8290caeb329b5a2e7cfab7d7",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1592819,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:10:57 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано\r\nінформацію щодо масового розповсюдження електронних листів з темою \"Нова програма для запису в\r\nжурналi.\" серед громадян України та вітчизняних організацій. Текст електронного листа містить\r\nповідомлення, начебто, від Міністерства освіти та науки України щодо \"електронних навчальних\r\nжурналів\", а також посилання на \"програму\" та пароль на архів.\r\nУ разі відкриття архіву та запуску EXE-файлу, комп'ютер буде уражено шкідливою програмою, яку, за\r\nсукупністю ознак (незважачи на деякі відмінності), класифіковано як MarsStealer.\r\nMarsStelaer - шкідлива програма-стілер, розроблена з використанням мов програмування C/ASM.\r\nОсновний функціонал - збір інформації про комп'ютер, викрадення аутентифікаційних даних з Інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів, а також\r\nзавантаження і запуск виконуваних файлів і виготовлення знімку екрану.\r\nШкідлива програма продається на тематичних форумах. Вірогідно, після призупинки продажів стілера\r\nRacoon, використовуватиметься як альтернатива. Зауважимо, що заявлений функціонал, який передбачає\r\nуникнення випадків застосування стілера у відношенні \"країн СНД\", відключено шляхом патчингу\r\nвикликів відповідних функцій.\r\nВиявлена активність відстежується за ідентифікатором UAC-0041 як діяльність однієї з груп, що мають на\r\nметі викрадення автентифікацйних даних користувачів.\r\nІндикатори компрометації\r\nФайли:\r\n50dc32d384eddc6142d98dba4b383952  e9022b65a0f367bebb6862dd17f084a662d7adb50076c1c364df0e074888656c\r\neac2f01715ff167bf3e155fad36e5b0d  f67ff70f862cdcb001763c69e88434d335b185a216e2944698f20807df28bdf2\r\n67dde33620bb01c74f9189f5e03d6528  e65231f304e78ce51dc77728f883c41465b9c8a5457cc2b22fc362f48521017a\r\nb5129b33d2181343b31bd64ec340a599  afa0662aa8eac0e607a9ffc85aa0bdfc570198dcb82dccdb40d0a459e12769dc\r\nМережеві:\r\nhXXps://drive.google[.]com/uc?export=download\u0026confirm=no_antivirus\u0026id=1XuVgWWXE8yeYKp6s1MnSA5M8wAx0AJ\r\nhXXps://api.dev-com[.]sc/files_1/v_5.1.9.exe\r\nhXXps://api.dev-com[.]sc/files_1/v_5.1.9.zip\r\nhXXp://176[.]57.189.191/gate[.]php\r\nhXXp://176[.]57.189.191/mozglue[.]dll\r\nhttps://cert.gov.ua/article/38606\r\nPage 1 of 2\n\nhXXp://176[.]57.189.191/vcruntime140[.]dll\r\nhXXp://176[.]57.189.191/nss3[.]dll\r\nhXXp://176[.]57.189.191/msvcp140[.]dll\r\nhXXp://176[.]57.189.191/freebl3[.]dll\r\nhXXp://176[.]57.189.191/sqlite3[.]dll\r\nhXXp://176[.]57.189.191/softokn3[.]dll\r\napi.dev-com[.]sc\r\ndev-com[.]sc (2022-03-24)\r\n176[.]57.189.191\r\n95[.]111.231.126\r\nХостові:\r\nC:\\ProgramData\\sqlite3.dll\r\nC:\\ProgramData\\freebl3.dll\r\nC:\\ProgramData\\mozglue.dll\r\nC:\\ProgramData\\msvcp140.dll\r\nC:\\ProgramData\\nss3.dll\r\nC:\\ProgramData\\softokn3.dll\r\nC:\\ProgramData\\vcruntime140.dll\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/38606\r\nhttps://cert.gov.ua/article/38606\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "DA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/38606"
	],
	"report_names": [
		"38606"
	],
	"threat_actors": [],
	"ts_created_at": 1775434557,
	"ts_updated_at": 1775791265,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/00d2bcebb3ed668b8290caeb329b5a2e7cfab7d7.pdf",
		"text": "https://archive.orkl.eu/00d2bcebb3ed668b8290caeb329b5a2e7cfab7d7.txt",
		"img": "https://archive.orkl.eu/00d2bcebb3ed668b8290caeb329b5a2e7cfab7d7.jpg"
	}
}