Росіяни розсилають підробні листи від популярної школи операторів дронів: про що попередили в CERT-UA

4 хвилин читання

Російські хакери масово розсилають листи нібито від навчального центру «Боривітер» із запароленим архівом усередині. Відкриття файлу заражає Windows і зливає паролі. Про це повідомили в CERT-UA. 

Фішингова розсилка від імені «Боривітра» краде паролі: CERT-UA попереджає про нову атаку. Фото: Magnific 

Що відомо про фішингову атаку від школи операторів дронів 

  • Команда CERT-UA зафіксувала кампанію під номером CERT-UA#22975.
  • Схема банальна за задумом і небезпечна за наслідками: жертві приходить лист начебто від українського військового навчального закладу, найчастіше з підписом «Боривітер».
  • Усередині є запаролений архів або посилання на завантаження, які виглядають як «списки на підтвердження» чи внутрішні документи.
  • Сам «Боривітер» на своїх каналах підтверджує підробку і наголошує: центр ніколи не просить підтверджувати списки й не надсилає запаролених архівів. 
  • Офіційні листи приходять лише з доменів @boryviter.org.ua або @boryviter.ua. Усе інше, зокрема адреси на ukr.net чи gmail з підписом «Боривітер», — фейк.
  • Шкідливий архів експлуатує вразливість WinRAR CVE-2025-8088. Після розпакування файл потрапляє в автозапуск Windows, а при наступному вході в систему PowerShell тихо запускає стилер GIFTEDCROOK. 
  • Той підключається до керуючого сервера (зафіксовано IP 136.0.141.237 та інші) і викачує збережені у браузері паролі, cookies, активні сесії, листування, робочі файли й VPN-конфіги.
  • Тобто зловмисник входить у ваш акаунт без пароля, просто підставляючи вкрадену сесію.
Читайте також: За даними CERT-UA, у 2025 році в Україні зафіксовано 5927 кіберінцидентів, на 37% більше, ніж роком раніше. На жаль, більшість компаній дізнаються про атаки вже після того, як шкода завдана. Speka розповідає, як це відбувається насправді, за даними NordVPN, Microsoft Security і Softlist/CERT-UA.

Кампанія лягає в загальний тренд, який раніше фіксували в De Novo: фішинг б'є не по технічних вразливостях, а по людській увазі, і російські угруповання дедалі частіше прикриваються військовою тематикою. 

Підписуйтеся на наші соцмережі

За даними CERT-UA, торік команда опрацювала майже 6000 кіберінцидентів, на 37% більше, ніж у 2024-му, і військово-оборонний сектор залишається головною ціллю.

Що робити, якщо ви вже відкрили фішинговий лист

Реакція залежить від того, наскільки далеко ви зайшли:

  • Якщо прочитали, але не відкривали архів, то просто видаліть лист.
  • Якщо скачали архів, але не розпаковували, то видаліть файл, ризик мінімальний.
  • Якщо ж розпакували архів або запустили файл на Windows, то вважайте, що комп'ютер уже заражений вірусом.

В останньому випадку діяти треба швидко. 

Варто від'єднати комп'ютер від інтернету, витягнути кабель або вимкнути Wi-Fi, щоб зупинити передачу даних. З іншого пристрою змінити паролі до пошти, банків, Signal, Telegram, WhatsApp і всіх інших сервісів. Завершити всі активні сесії кнопкою «вийти на всіх пристроях» і увімкнути двофакторну автентифікацію.

Головне, що варто зрозуміти: антивірус не гарантує очищення. Єдиний надійний спосіб позбутися GIFTEDCROOK — перевстановити Windows начисто. До перевстановлення на зараженому комп'ютері не варто вводити жодних паролів і працювати з чутливими даними.

Які дані хакери шукають в Україні 

Ставки в цій атаці вищі, ніж «просто злили паролі». Раніше SPEKA писала, як хакерські угруповання, пов'язані з рф, полюють саме на військові й оборонні дані: логістику, склади, координати, персональні дані бійців та інструкторів. 

Легенда з «Боривітром» націлена рівно на цю аудиторію — люди, які проходили або проходять військову підготовку, реагують на такі листи рефлекторно.

Для бізнесу і волонтерських команд урок теж прикладний: якщо співробітник має справу з військовою тематикою, одного випадково розпакованого архіву достатньо, щоб корпоративна пошта, банк-клієнт і робочі документи опинилися в чужих руках. Оновіть WinRAR у всій команді вже сьогодні.