Uma campanha híbrida de espionagem e influência conduzida pelo grupo russo de ameaças 'UNC5812' foi descoberta, visando recrutas militares ucranianos com malware para Windows e Android.
De acordo com a inteligência de ameaças do Google, a campanha se passou por uma persona de "Defesa Civil", juntamente com um website e um canal dedicado no Telegram para distribuir o malware por meio de um aplicativo falso de evasão de recrutamento apelidado pelos pesquisadores de "Sunspinner".
A campanha visa dispositivos Windows e Android usando malware distinto para cada plataforma, dando aos atacantes capacidades de roubo de dados e espionagem em tempo real.
O Google implementou proteções para bloquear a atividade maliciosa, mas a operação destaca o uso contínuo da Rússia e amplas capacidades no espaço de ciber-guerra.
A persona da UNC5812 não tenta se passar pela Defesa Civil da Ucrânia ou qualquer agência governamental, mas é promovida como uma organização legítima amigável à Ucrânia que fornece aos conscritos ucranianos ferramentas de software úteis e conselhos.
A persona utiliza um canal no Telegram e um website para envolver potenciais vítimas e entregar narrativas contra os esforços de recrutamento e mobilização da Ucrânia, visando instigar a desconfiança e resistência entre a população.
Quando o Google descobriu a campanha em 18 de setembro de 2024, o canal "Defesa Civil" no Telegram tinha 80.000 membros.
Usuários enganados a visitar o website da Defesa Civil são levados a uma página de download para um aplicativo malicioso promovido como uma ferramenta de mapeamento colaborativo que pode ajudar os usuários a rastrear os locais dos recrutadores e evitá-los.
O Google chama este aplicativo de "Sunspinner", e embora o aplicativo apresente um mapa com marcadores, o Google diz que os dados são fabricados.
O único propósito do aplicativo é esconder a instalação do malware que ocorre em segundo plano.
Os falsos aplicativos oferecem downloads para Windows e Android, e prometem adicionar suporte para iOS e macOS em breve, então as plataformas da Apple ainda não são suportadas.
O download para Windows instala o Pronsis Loader, um carregador de malware que busca payloads maliciosos adicionais do servidor da UNC5812, incluindo o ladrão de informações commodity 'PureStealer'.
PureStealer visa informações armazenadas nos navegadores da web, como senhas de contas, cookies, detalhes de carteiras de criptomoedas, clientes de e-mail e dados de aplicativos de mensagens.
No Android, o arquivo APK baixado insere o CraxsRAT, também uma backdoor disponível comercialmente.
O CraxsRAT permite que os atacantes rastreiem a localização da vítima em tempo real, registrem suas teclas digitadas, ativem gravações de áudio, recuperem listas de contatos, acessem mensagens SMS, exfiltrem arquivos e colem credenciais.
Para realizar essas atividades maliciosas sem serem detectadas, o aplicativo engana os usuários a desativarem o Google Play Protect, a ferramenta anti-malware embutida do Android, e conceder manualmente permissões arriscadas.
O Google atualizou as proteções do Google Play para detectar e bloquear o malware Android no início e também adicionou os domínios e arquivos associados à campanha ao seu recurso 'Navegação Segura' no Chrome.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...