Від «Снимок экрана» до трояна: розбір свіжої фішингової розсилки з графіками відключень

Нажаль, дедалі частіше українці стають жертвами фішингових листів. Розберемо як розпізнати такий лист на прикладі свіжого «креативу». Почнемо з простого візуального контролю і якщо лист складено не дуже старанно, зазвичай цього буває достатньо, щоб ідентифікувати його як небезпечний.

Тема листа «Компанія „Укренерго“ повідомляє...» досить неочікувана, адже «Укренерго» — це оператор магістральних електромереж, який не працює напряму з побутовими споживачами і не розсилає індивідуальні графіки відключень. Цим займаються обленерго/регіональні оператори розподілу.

Звернення в листі «Шановний абонент» (не працює напряму з побутовими споживачами) від Укренерго виглядає дивно. До речі, державні компанії зазвичай вказують ПІБ, або особовий рахунок чи адресу і масове безособове звернення не обов’язково, але може бути ознакою фішингової розсилки.

Так як зараз поштові сервіси/клієнти не завантажують за замовчуванням зображення, щоб захистити від трекінгу, ми можемо бачити назву файлу цього зображення, яку зловмисник-ледащо навіть не змінив на більш притомну типу banner/header, а залишив як «Снимок экрана 2026...». Зате потім, ніби щоб реабілітуватись за тимчасову слабкість, він додав до листа не одне посилання на завантаження файлу, а зробив це два рази, мабуть для надійності! «Ситуація залишається напруженою», «необхідність стабілізації», «терміново завантажте» — соціальна інженерія працює на страху та поспіху. Коли ви нервуєте, ваш внутрішній Security Engineer може вийти на перекур. Текст листа написаний дещо кострубато, відчувається, що робота з чужою для автора мовою дається не просто. Майже весь лист до нас звертаються від першої особи множини(ми) і вже під кінець, втомлений працею тяжкою, автор щиро звертається до нас з подякою персонально від себе: «Дякую за розуміння та співпрацю.»

Можливо я ідеалізую моральні якості зловмисника і світла особиста дяка «Дякую за розуміння та співпрацю.» це не, що інше як переклад бездушною машиною без врахування контексту з російської «Спасибо за понимание и сотрудничество». Тож переходимо до технічного аналізу.

В поштовому сервісі є можливість подивитись заголовки/оригінал листа, де видно, що в листі вказано відправника, як From: office[at]ua[dot]energy <info[at]ua[dot]energy> виглядає правдоподібно та нам відомо, що в полі From можна написати хоч elon.musk [at] spacex [dot] com, але справжній відправник envelope-from <uaenergy[at]et-sy-newnews[dot]com> , Received: from [138.124.31.47] (helo=et-sy-newnews[dot]com). Фахівці б сказали, що тут має місце Spoofed email address, тобто адресу пошти підроблено. Початок домену (et-sy) мімікрує під бренд Etsy, можна припустити, що географія розсилок не обмежується Україною. Зверніть увагу на дату відправлення в заголовках: Thu, 26 Feb 2026 01:03:00 —0800 (AST). По-перше, UTC-8 (Atlantic Standard Time), серйозно? Невже адміни «Укренерго» працюють з Карибських островів? По-друге, розсилка о першій годині ночі за їхнім часом — дуже в стилі автоматизованих ботнетів.

Подивимось, що скаже перевірка домену на who.is/rdap/et-sy-newnews.com

в розділі Domain Contacts бачимо, що пошта власника і технічного контакту однакова і не персоналізована info[at]domain-contact[dot]org. Це означає, що реальний власник прихований. Адреса: Wilayah Persekutuan — це федеральна територія в Малайзії, ніякого креативу, а могли б вказати Andromeda чи Mars.

В Important Dates бачимо, що домен свіженький — дата реєстрації 14 серпня 2025 року.

На десерт, переходимо до Nameservers і бачимо, що et-sy-newnews[dot]com обслуговується провайдером AdminVPS(https://adminvps[dot]ru), для чого слугують чотири dns-сервери: ns1[dot]adminvps[dot]ru, ns2[dot]adminvps[dot]net, ns3[dot]adminvps[dot]ru, ns4[dot]adminvps[dot]net.

У тексті листа ми бачимо посилання: https://ua.energy/document/download/графік2026.txt

Здається, що це звичайний текстовий файл. Але якщо ми заглянемо в HTML-код листа (який зловмисники дбайливо запакували в Base64), ми побачимо справжній лінк.

Після кліку на посилання, замість текстового файлу графіку відключень завантажується виконавчий файл з розширенням .exe, по його SHA256: 756347b972b243e27240e265e1b5cad2c371d8d965def281323281ebff8abe4a, на VirusTotal 7 із 72 постачальників(на 27.02.2026) ідентифікують його як Malware/Trojan, цього більш ніж достатньо, щоб вважати файл небезпечним.

Update: На 01.03.2026 — вже 24 із 66 постачальників ідентифікують його як Malware/Trojan.

Особливо допитливі на ресурсі tria.ge можуть переглянути імпорти, які використовує програма, щоб зрозуміти її потенційні можливості та провести детальний аналіз.

Дивлячись на вкладинку Behavior цього файлу на VirusTotal, розуміємо, що після запуску ШПЗ збирає дані з вашого ПК, шифрує їх та відправляє цей зашифрований пакет асинхронно на C2-сервер (95.85.239[.]100).

IP-адреса(95.85.239[.]100) належить підмережі 95.85.239[.]0/24, яка зареєстрована на Partner Hosting LTD (AS215826) у RIPE. Згідно з офіційним реєстром компаній Великобританії (Companies House), Partner Hosting LTD було ліквідовано 20 січня 2026 року внаслідок примусового виключення з реєстру.

За даними реєстру, єдиним директором та особою з істотним контролем був громадянин України. Інформацію хто ця людина і в чому її звинувачують, за бажанням ви можете знайти тут. Тобто це частина інфраструктури, що використовувалась в масштабній російській кампанії(кодова назва «Doppelgänger») з дезінформації, яка спрямована на підрив підтримки України країнами Заходу. Оскільки Partner Hosting LTD більше не існує(юр. особи), хтось продовжує використовувати ці ресурси без оновлення реєстраційних даних.

UPD: Згідно з whois 95.85.239[.]100 бачимо, що новий запис для MHost LLC (ORG-ML960-RIPE) створений 18 лютого 2026 року, а останні зміни в мережі внесені 27 лютого 2026 року. Це означає, що IP-діапазон був оперативно перереєстрований на нову структуру відразу після того, як британська компанія припинила існування.

У записі фігурують три різні країни, що є типовим для сервісів, які намагаються уникнути юрисдикції конкретної держави:

EE (Естонія): Geofeed посилається на домен mhost[.]ee. CH (Швейцарія): Вказана в полі country для мережі. GE (Грузія): Адреса реєстрації організації — село Легва, Кобулетський район. Cпецифічна адреса для хостинг-провайдера, не здається? Можливо використання приватного будинку у грузинському селі для реєстрації IT-компанії — це популярний метод для нерезидентів мати низькі податки та обійти санкції.

Це виглядає як типова інфраструктура для «bulletproof» хостингу, який використовується або для хакерських атак, або для розміщення пропагандистських/шахрайських ресурсів, які хочуть уникнути видалення за запитами правоохоронців.

Також відомо про інші фішингові розсилки з et-sy-newnews[dot]com, від імені It Army Of Ukraine із закликом приєднатися до фейкового телеграм каналу. Англомовні з погрозами, що пристрої користувача зламано(знову спуфінг імені пошти, в полі від кого і кому пошта самого користувача), з вимогою заплатити на криптовалютний гаманець. А якщо користувач «не ведеться» на провокації, є листи про виграші, або про надходження з хмарного майнінгу біткоїнів. Звичайно текст і HTML закодовані в Base64, звичайно присутній pixel tracking та перенаправлення на et-sy-newnews[.]com/amsweb[.]php(скрипт для збору метаданих), щоб перевірити жива ще пошта чи ні — класичний метод валідації цілі. Схоже шаблонів у них вистачає.

З розвитком ШІ-помічників, робота зловмисників нажаль стає більш якісною. Тому будьте пильні і обережні, бережіть себе та свої дані.