CERT-UA alerta sobre ataques de malware SmokeLoader e RoarBAT contra a Ucrânia
8 de Maio de 2023

Uma campanha contínua de phishing com iscas temáticas de faturas está sendo usada para distribuir o malware SmokeLoader na forma de um arquivo poliglota, de acordo com o Computer Emergency Response Team da Ucrânia (CERT-UA).

Os e-mails, segundo a agência, são enviados usando contas comprometidas e vêm com um arquivo ZIP que, na realidade, é um arquivo poliglota contendo um documento de distração e um arquivo JavaScript.

O código JavaScript é então usado para lançar um executável que abre caminho para a execução do malware SmokeLoader.

O SmokeLoader, detectado pela primeira vez em 2011, é um carregador cujo principal objetivo é baixar ou carregar um malware mais furtivo ou eficaz em sistemas infectados.

CERT-UA atribuiu a atividade a um ator de ameaças que chama de UAC-0006 e a caracterizou como uma operação motivada financeiramente realizada com o objetivo de roubar credenciais e fazer transferências de fundos não autorizadas.

Em um aviso relacionado, a autoridade de cibersegurança da Ucrânia também revelou detalhes de ataques destrutivos orquestrados por um grupo conhecido como UAC-0165 contra organizações do setor público.

O ataque, que visava uma organização estatal não identificada, envolveu o uso de um novo malware de limpeza baseado em script em lote chamado RoarBAT, que realiza uma pesquisa recursiva por arquivos com uma lista específica de extensões e os exclui irrevogavelmente usando a ferramenta WinRAR legítima.

Isso, por sua vez, foi alcançado arquivando os arquivos identificados usando a opção de linha de comando "-df" e posteriormente purgando os arquivos criados.

O script em lote foi executado por meio de uma tarefa agendada.

Simultaneamente, sistemas Linux foram comprometidos usando um script bash que aproveitava a utilidade dd para sobrescrever arquivos com bytes zero, evitando efetivamente a detecção por software de segurança.

"Foi constatado que a operabilidade dos computadores eletrônicos (equipamentos de servidor, locais de trabalho de usuário automatizados, sistemas de armazenamento de dados) foi prejudicada como resultado do impacto destrutivo realizado com o uso de software apropriado", disse o CERT-UA.

"O acesso ao alvo ICS do ataque é supostamente obtido conectando-se a uma VPN usando dados de autenticação comprometidos.

A implementação bem-sucedida do ataque foi facilitada pela falta de autenticação de vários fatores ao fazer conexões remotas com VPN."

A agência atribuiu UAC-0165 com confiança moderada ao notório grupo Sandworm (também conhecido como FROZENBARENTS, Seashell Blizzard ou Voodoo Bear), que tem uma história de desencadear ataques de limpeza desde o início da guerra russo-ucraniana no ano passado.

O link com o Sandworm decorre de grandes sobreposições com outro ataque destrutivo que atingiu a agência de notícias estatal ucraniana Ukrinform em janeiro de 2023, que foi vinculado ao coletivo adversário.

Os alertas surgem uma semana depois que o CERT-UA alertou sobre ataques de phishing realizados pelo grupo patrocinado pelo estado russo APT28, visando entidades governamentais no país com notificações falsas de atualização do Windows.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...