A equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) revelou um novo conjunto de ataques cibernéticos direcionados a instituições ucranianas com o uso de malware de roubo de informações.
A atividade visa formações militares, agências de aplicação da lei e corpos de auto-governo local, especialmente aqueles localizados perto da fronteira leste da Ucrânia, informou a agência.
Os ataques envolvem a distribuição de e-mails de phishing contendo uma planilha do Microsoft Excel habilitada para macro (XLSM), que, ao ser aberta, facilita a implantação de duas peças de malware: um script PowerShell retirado do repositório GitHub PSSW100AVB ("Powershell Scripts With 100% AV Bypass") que abre um shell reverso, e um stealer anteriormente não documentado chamado GIFTEDCROOK.
"Os nomes de arquivos e linhas de assunto do e-mail fazem referência a questões relevantes e sensíveis, como desminagem, multas administrativas, produção de UAV e compensação por propriedade destruída", disse o CERT-UA.
Essas planilhas contêm código malicioso que, ao abrir o documento e habilitar macros, se transforma automaticamente em malware e executa sem o conhecimento do usuário. Escrito em C/C++, o GIFTEDCROOK facilita o roubo de dados sensíveis de navegadores web como Google Chrome, Microsoft Edge e Mozilla Firefox, como cookies, histórico de navegação e dados de autenticação.
As mensagens de e-mail são enviadas de contas comprometidas, frequentemente via interface web de clientes de e-mail, para dar às mensagens um verniz de legitimidade e enganar as vítimas em potencial para que abram os documentos.
O CERT-UA atribuiu a atividade a um cluster de ameaças UAC-0226, embora não tenha sido vinculado a um país específico.
O desenvolvimento ocorre enquanto um suposto ator de espionagem com nexos com a Rússia, apelidado de UNC5837, foi ligado a uma campanha de phishing direcionada a organizações governamentais e militares europeias em outubro de 2024.
"A campanha empregou anexos de arquivo .RDP assinados para estabelecer conexões de Protocolo de Desktop Remoto (RDP) a partir das máquinas das vítimas", disse o Grupo de Inteligência de Ameaças do Google (GTIG).
Ao contrário dos ataques RDP típicos focados em sessões interativas, esta campanha utilizou criativamente a redireção de recursos (mapeando sistemas de arquivos das vítimas para os servidores do atacante) e RemoteApps (apresentando aplicativos controlados pelo atacante às vítimas). Vale ressaltar que a campanha RDP foi previamente documentada pelo CERT-UA, Amazon Web Services e Microsoft em outubro de 2024 e, subsequentemente, pela Trend Micro em dezembro.
O CERT-UA está monitorando a atividade sob o nome UAC-0215, enquanto os outros atribuíram isso ao grupo de hacking patrocinado pelo estado russo APT29.
O ataque também é notável pelo provável uso de uma ferramenta de código aberto chamada PyRDP para automatizar atividades maliciosas, tais como exfiltração de arquivos e captura de área de transferência, incluindo dados potencialmente sensíveis como senhas.
"A campanha provavelmente permitiu aos atacantes ler unidades das vítimas, roubar arquivos, capturar dados da área de transferência (incluindo senhas) e obter variáveis de ambiente das vítimas", disse o GTIG em um relatório de segunda-feira(07).
O principal objetivo do UNC5837 parece ser espionagem e roubo de arquivos. Nos últimos meses, campanhas de phishing também foram observadas usando CAPTCHAs falsos e Cloudflare Turnstile para distribuir Legion Loader (também conhecido como Satacom), que então serve como um meio para soltar uma extensão maliciosa de navegador baseada em Chromium chamada "Save to Google Drive."
"O payload inicial é espalhado via infecção de download drive-by que começa quando uma vítima busca por um documento específico e é atraída para um site malicioso", disse o Netskope Threat Labs.
O documento baixado contém um CAPTCHA que, uma vez clicado pela vítima, redireciona para um CAPTCHA Cloudflare Turnstile e, eventualmente, para uma página de notificação. A página solicita aos usuários que permitam notificações no site, após o que as vítimas são redirecionadas a um segundo CAPTCHA Cloudflare Turnstile que, após a conclusão, é redirecionado novamente a uma página que fornece instruções ao estilo ClickFix para baixar o documento que estão procurando.
Na realidade, o ataque abre caminho para a entrega e execução de um arquivo instalador MSI responsável por lançar o Legion Loader, que, por sua vez, realiza uma série de passos para baixar e executar scripts PowerShell intermediários, adicionando no final a extensão de navegador desonesta ao navegador.
O script PowerShell também encerra a sessão do navegador para que a extensão seja habilitada, ativa o modo de desenvolvedor nas configurações e reinicia o navegador.
O objetivo final é capturar uma ampla gama de informações sensíveis e exfiltrá-las para os atacantes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...