Uma campanha contínua de phishing com iscas temáticas de faturas está sendo usada para distribuir o malware SmokeLoader na forma de um arquivo poliglota, de acordo com o Computer Emergency Response Team da Ucrânia (CERT-UA).
Os e-mails, segundo a agência, são enviados usando contas comprometidas e vêm com um arquivo ZIP que, na realidade, é um arquivo poliglota contendo um documento de distração e um arquivo JavaScript.
O código JavaScript é então usado para lançar um executável que abre caminho para a execução do malware SmokeLoader.
O SmokeLoader, detectado pela primeira vez em 2011, é um carregador cujo principal objetivo é baixar ou carregar um malware mais furtivo ou eficaz em sistemas infectados.
CERT-UA atribuiu a atividade a um ator de ameaças que chama de UAC-0006 e a caracterizou como uma operação motivada financeiramente realizada com o objetivo de roubar credenciais e fazer transferências de fundos não autorizadas.
Em um aviso relacionado, a autoridade de cibersegurança da Ucrânia também revelou detalhes de ataques destrutivos orquestrados por um grupo conhecido como UAC-0165 contra organizações do setor público.
O ataque, que visava uma organização estatal não identificada, envolveu o uso de um novo malware de limpeza baseado em script em lote chamado RoarBAT, que realiza uma pesquisa recursiva por arquivos com uma lista específica de extensões e os exclui irrevogavelmente usando a ferramenta WinRAR legítima.
Isso, por sua vez, foi alcançado arquivando os arquivos identificados usando a opção de linha de comando "-df" e posteriormente purgando os arquivos criados.
O script em lote foi executado por meio de uma tarefa agendada.
Simultaneamente, sistemas Linux foram comprometidos usando um script bash que aproveitava a utilidade dd para sobrescrever arquivos com bytes zero, evitando efetivamente a detecção por software de segurança.
"Foi constatado que a operabilidade dos computadores eletrônicos (equipamentos de servidor, locais de trabalho de usuário automatizados, sistemas de armazenamento de dados) foi prejudicada como resultado do impacto destrutivo realizado com o uso de software apropriado", disse o CERT-UA.
"O acesso ao alvo ICS do ataque é supostamente obtido conectando-se a uma VPN usando dados de autenticação comprometidos.
A implementação bem-sucedida do ataque foi facilitada pela falta de autenticação de vários fatores ao fazer conexões remotas com VPN."
A agência atribuiu UAC-0165 com confiança moderada ao notório grupo Sandworm (também conhecido como FROZENBARENTS, Seashell Blizzard ou Voodoo Bear), que tem uma história de desencadear ataques de limpeza desde o início da guerra russo-ucraniana no ano passado.
O link com o Sandworm decorre de grandes sobreposições com outro ataque destrutivo que atingiu a agência de notícias estatal ucraniana Ukrinform em janeiro de 2023, que foi vinculado ao coletivo adversário.
Os alertas surgem uma semana depois que o CERT-UA alertou sobre ataques de phishing realizados pelo grupo patrocinado pelo estado russo APT28, visando entidades governamentais no país com notificações falsas de atualização do Windows.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...