ผู้ใช้ระบบ DELTA military ของยูเครนตกเป็นเป้าหมายของมัลแวร์ขโมยข้อมูล
พบบัญชี Email ของกระทรวงกลาโหมยูเครนที่ถูกบุกรุก ซึ่งส่ง Phishing Emails และ Instant Message ไปยังผู้ใช้โปรแกรม ‘DELTA’ situational awareness เพื่อกระจายตัวในระบบด้วยมัลแวร์ขโมยข้อมูล ซึ่งแคมเปญดังกล่าวได้รับการรายงานโดย CERT-UA (ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน) โดย DELTA เป็นระบบรวบรวม และจัดการข่าวกรองที่สร้างขึ้นโดยยูเครนด้วยความช่วยเหลือจากพันธมิตรเพื่อช่วยกองทัพในการติดตามความเคลื่อนไหวของกองกำลังศัตรู ซึ่งระบบจะให้ข้อมูลแบบ Real-Time ด้วย Integration ระดับสูงจากหลายแหล่งบนแผนที่ดิจิทัลที่สามารถทำงานบนอุปกรณ์อิเล็กทรอนิกส์ใดก็ได้ ตั้งแต่ Laptop ไปจนถึง smartphone ซึ่งใบรับรองดิจิทัลใช้สำหรับ Signing software code และตรวจสอบความถูกต้องของ Servers, โดยบอกว่า Security Product กำลังทำงานบนระบบปฏิบัติการที่แอปพลิเคชันไม่ได้ถูกแก้ไข
ในส่วนหนึ่งของแคมเปญนี้ ผู้คุกคามใช้ Email หรือ Instant Message ที่มีคำเตือนหลอกว่าผู้ใช้จำเป็นต้องอัปเดตใบรับรอง DELTA เพื่อให้ใช้ระบบได้อย่างปลอดภัย ซึ่ง Email ที่เป็นอันตรายมีไฟล์ PDF ที่อ้างว่ามีคำแนะนำในการติดตั้งใบรับรอง ซึ่งมีลิงค์สำหรับดาวน์โหลดไฟล์ ZIP ชื่อ “certificates_rootCA.ZIP” ซึ่งไฟล์เอกสารมีไฟล์ปฏิบัติการชื่อ “Certificates_rootCA.exe” ซึ่งเมื่อเปิดใช้จะสร้างไฟล์ DLL หลายไฟล์ในระบบของเหยื่อ และเปิดใช้ “ais.exe” ซึ่งเป็นตัวจำลองกระบวนการติดตั้งใบรับรอง โดยขั้นตอนนี้ทำให้เหยื่อเชื่อว่ากระบวนการนี้ถูกต้อง และลดโอกาสที่เหยื่อจะรู้ตัวว่าถูกละเมิด ทั้งไฟล์ EXE และ DLL ได้รับการปกป้องโดย VMProtect ซึ่งเป็น Software ที่ถูกกฏหมายซึ่งใช้สำหรับห่อไฟล์ในเครื่อง virtualized machines แบบ Standalone, เข้ารหัส, และทำการวิเคราะห์ หรือการตรวจจับที่ AV ไม่สามารถทำได้ ซึ่ง DLL ที่ Drop ไฟล์ “Fileinfo.dll” และ “procsys.dll” เป็นมัลแวร์ที่ CERT-UA ระบุว่าเป็น “FateGrab” และ “StealDeal” FateGate เป็นตัวขโมย FTP ที่กำหนดเป้าหมายพวกเอกสาร หรืออีเมลในรูปแบบไฟล์ดังนี้ : “.txt”, “.rtf”, “.xls”, “.xlsx”, “.ods”, “.cmd”, “.pdf”, “.vbs”, “.ps1”, “.one”, .”kdb”, “.kdbx”, “.doc”, “.docx”, “.odt”, “.eml”, “.msg”, “.email” StealDeal เป็นมัลแวร์ขโมยข้อมูลการท่องอินเทอร์เน็ต และรหัสผ่านที่จัดเก็บไว้ใน Browser ได้