O MeduzaStealer já havia sido empregado por grupos de ameaças ligados à Rússia para obter credenciais de login, informações de computadores, histórico de navegação e dados de gerenciadores de senhas. No ano passado, o grupo de ameaças UAC-0050 usou esse malware contra alvos na Ucrânia e Polônia. Um novo relatório da equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) revela que hackers, ainda não identificados, distribuíram recentemente o MeduzaStealer disfarçado como um bot de suporte técnico no Telegram para os usuários do novo aplicativo governamental ucraniano chamado Reserve+.

Lançado no início deste ano, o Reserve+ permite que homens ucranianos sujeitos ao serviço militar atualizem seus dados pessoais online, sem a necessidade de comparecer aos escritórios de alistamento. Devido à sensibilidade dos dados que o aplicativo coleta, ele se tornou um alvo atraente para cibercriminosos. Na campanha analisada pelo CERT-UA, os hackers se passaram por suporte ao cliente do Reserve+ e solicitaram aos usuários que fizessem o upload de um arquivo ZIP contendo supostas instruções sobre como atualizar corretamente os dados pessoais exigidos pelas autoridades militares da Ucrânia.

Ao abrir o arquivo, os dispositivos das vítimas eram infectados pelo MeduzaStealer, projetado para roubar documentos específicos antes de se autodeletar. O relatório da CERT-UA não mencionou quantas pessoas foram afetadas pelo ataque ou como os hackers podem usar os dados obtidos. Até julho, mais de 4,5 milhões de ucranianos utilizavam o Reserve+ para atualizar suas informações pessoais. Em agosto, o Ministério da Defesa da Ucrânia relatou a descoberta de três aplicativos falsos do Reserve+, provavelmente criados para coletar dados pessoais dos conscritos ucranianos e utilizá-los em ataques futuros ou em operações psicológicas e de informação.