Uma campanha contínua de phishing com iscas temáticas de faturas está sendo usada para distribuir o malware SmokeLoader na forma de um arquivo poliglota, de acordo com o Computer Emergency Response Team da Ucrânia (CERT-UA).
Os e-mails, segundo a agência, são enviados usando contas comprometidas e vêm com um arquivo ZIP que, na realidade, é um arquivo poliglota contendo um documento de distração e um arquivo JavaScript.
O código JavaScript é então usado para lançar um executável que abre caminho para a execução do malware SmokeLoader.
O SmokeLoader, detectado pela primeira vez em 2011, é um carregador cujo principal objetivo é baixar ou carregar um malware mais furtivo ou eficaz em sistemas infectados.
CERT-UA atribuiu a atividade a um ator de ameaças que chama de UAC-0006 e a caracterizou como uma operação motivada financeiramente realizada com o objetivo de roubar credenciais e fazer transferências de fundos não autorizadas.
Em um aviso relacionado, a autoridade de cibersegurança da Ucrânia também revelou detalhes de ataques destrutivos orquestrados por um grupo conhecido como UAC-0165 contra organizações do setor público.
O ataque, que visava uma organização estatal não identificada, envolveu o uso de um novo malware de limpeza baseado em script em lote chamado RoarBAT, que realiza uma pesquisa recursiva por arquivos com uma lista específica de extensões e os exclui irrevogavelmente usando a ferramenta WinRAR legítima.
Isso, por sua vez, foi alcançado arquivando os arquivos identificados usando a opção de linha de comando "-df" e posteriormente purgando os arquivos criados.
O script em lote foi executado por meio de uma tarefa agendada.
Simultaneamente, sistemas Linux foram comprometidos usando um script bash que aproveitava a utilidade dd para sobrescrever arquivos com bytes zero, evitando efetivamente a detecção por software de segurança.
"Foi constatado que a operabilidade dos computadores eletrônicos (equipamentos de servidor, locais de trabalho de usuário automatizados, sistemas de armazenamento de dados) foi prejudicada como resultado do impacto destrutivo realizado com o uso de software apropriado", disse o CERT-UA.
"O acesso ao alvo ICS do ataque é supostamente obtido conectando-se a uma VPN usando dados de autenticação comprometidos.
A implementação bem-sucedida do ataque foi facilitada pela falta de autenticação de vários fatores ao fazer conexões remotas com VPN."
A agência atribuiu UAC-0165 com confiança moderada ao notório grupo Sandworm (também conhecido como FROZENBARENTS, Seashell Blizzard ou Voodoo Bear), que tem uma história de desencadear ataques de limpeza desde o início da guerra russo-ucraniana no ano passado.
O link com o Sandworm decorre de grandes sobreposições com outro ataque destrutivo que atingiu a agência de notícias estatal ucraniana Ukrinform em janeiro de 2023, que foi vinculado ao coletivo adversário.
Os alertas surgem uma semana depois que o CERT-UA alertou sobre ataques de phishing realizados pelo grupo patrocinado pelo estado russo APT28, visando entidades governamentais no país com notificações falsas de atualização do Windows.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...