Campanha híbrida de espionagem russa
29 de Outubro de 2024

Uma campanha híbrida de espionagem e influência conduzida pelo grupo russo de ameaças 'UNC5812' foi descoberta, visando recrutas militares ucranianos com malware para Windows e Android.

De acordo com a inteligência de ameaças do Google, a campanha se passou por uma persona de "Defesa Civil", juntamente com um website e um canal dedicado no Telegram para distribuir o malware por meio de um aplicativo falso de evasão de recrutamento apelidado pelos pesquisadores de "Sunspinner".

A campanha visa dispositivos Windows e Android usando malware distinto para cada plataforma, dando aos atacantes capacidades de roubo de dados e espionagem em tempo real.

O Google implementou proteções para bloquear a atividade maliciosa, mas a operação destaca o uso contínuo da Rússia e amplas capacidades no espaço de ciber-guerra.

A persona da UNC5812 não tenta se passar pela Defesa Civil da Ucrânia ou qualquer agência governamental, mas é promovida como uma organização legítima amigável à Ucrânia que fornece aos conscritos ucranianos ferramentas de software úteis e conselhos.

A persona utiliza um canal no Telegram e um website para envolver potenciais vítimas e entregar narrativas contra os esforços de recrutamento e mobilização da Ucrânia, visando instigar a desconfiança e resistência entre a população.

Quando o Google descobriu a campanha em 18 de setembro de 2024, o canal "Defesa Civil" no Telegram tinha 80.000 membros.

Usuários enganados a visitar o website da Defesa Civil são levados a uma página de download para um aplicativo malicioso promovido como uma ferramenta de mapeamento colaborativo que pode ajudar os usuários a rastrear os locais dos recrutadores e evitá-los.

O Google chama este aplicativo de "Sunspinner", e embora o aplicativo apresente um mapa com marcadores, o Google diz que os dados são fabricados.

O único propósito do aplicativo é esconder a instalação do malware que ocorre em segundo plano.

Os falsos aplicativos oferecem downloads para Windows e Android, e prometem adicionar suporte para iOS e macOS em breve, então as plataformas da Apple ainda não são suportadas.

O download para Windows instala o Pronsis Loader, um carregador de malware que busca payloads maliciosos adicionais do servidor da UNC5812, incluindo o ladrão de informações commodity 'PureStealer'.

PureStealer visa informações armazenadas nos navegadores da web, como senhas de contas, cookies, detalhes de carteiras de criptomoedas, clientes de e-mail e dados de aplicativos de mensagens.

No Android, o arquivo APK baixado insere o CraxsRAT, também uma backdoor disponível comercialmente.

O CraxsRAT permite que os atacantes rastreiem a localização da vítima em tempo real, registrem suas teclas digitadas, ativem gravações de áudio, recuperem listas de contatos, acessem mensagens SMS, exfiltrem arquivos e colem credenciais.

Para realizar essas atividades maliciosas sem serem detectadas, o aplicativo engana os usuários a desativarem o Google Play Protect, a ferramenta anti-malware embutida do Android, e conceder manualmente permissões arriscadas.

O Google atualizou as proteções do Google Play para detectar e bloquear o malware Android no início e também adicionou os domínios e arquivos associados à campanha ao seu recurso 'Navegação Segura' no Chrome.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...