Um suposto operação de espionagem e influência híbrida russa foi observada entregando uma mistura de malware para Windows e Android com o objetivo de atingir o militar ucraniano sob a persona Telegram Civil Defense.
O Grupo de Análise de Ameaças (TAG) do Google e a Mandiant estão rastreando a atividade sob o nome de UNC5812.
O grupo de ameaça, que opera um canal no Telegram chamado civildefense_com_ua, foi criado em 10 de setembro de 2024.
Até o momento da redação, o canal tem 184 assinantes.
Ele também mantém um site em civildefense.com[.]ua que foi registrado em 24 de abril de 2024.
"'Civil Defense' alega ser um fornecedor de programas de software gratuitos projetados para permitir que potenciais recrutas visualizem e compartilhem locais de recrutadores militares ucranianos de forma colaborativa", disse a empresa em um relatório compartilhado.
Caso esses programas sejam instalados em dispositivos Android que tenham o Google Play Protect desativado, eles são projetados para implantar malware comum específico ao sistema operacional, juntamente com um aplicativo de mapeamento isca denominado SUNSPINNER.
Diz-se também que a UNC5812 está ativamente envolvida em operações de influência, disseminando narrativas e solicitando conteúdo destinado a minar o apoio aos esforços de mobilização e recrutamento militar da Ucrânia.
"A campanha da UNC5812 é altamente característica da ênfase que a Rússia coloca em alcançar o efeito cognitivo por meio de suas capacidades cibernéticas e destaca o papel proeminente que aplicativos de mensagens continuam a desempenhar na entrega de malware e outras dimensões cibernéticas da guerra da Rússia na Ucrânia", disse o Google Threat Intelligence Group.
Civil Defense, que teve seu canal no Telegram e site promovidos por outros canais no Telegram em língua ucraniana legítimos e estabelecidos, visa direcionar vítimas ao seu site de onde o software malicioso é baixado, dependendo do sistema operacional.
Para usuários de Windows, o arquivo ZIP conduz à implantação de um carregador de malware baseado em PHP recém-descoberto chamado Pronsis, que é usado para distribuir SUNSPINNER e um malware stealer pronto para uso conhecido como PureStealer, que é anunciado por entre $150 para uma assinatura mensal a $699 por uma licença vitalícia.
SUNSPINNER, por sua vez, exibe para os usuários um mapa que renderiza locais supostos de recrutas militares ucranianos de um servidor de comando e controle (C2) controlado por atores.
Para aqueles que estão acessando o site de dispositivos Android, a cadeia de ataque implanta um arquivo APK malicioso (nome do pacote: "com.http.masters") que incorpora um trojan de acesso remoto referido como CraxsRAT.
O site também inclui instruções que orientam as vítimas sobre como desativar o Google Play Protect e conceder ao aplicativo desonesto todas as permissões solicitadas, permitindo que o malware funcione sem impedimentos.
CraxsRAT é uma família notória de malware para Android que vem com capacidades para controle remoto de dispositivo e funções avançadas de spyware, como keylogging, manipulação de gestos e gravação de câmeras, telas e chamadas.
Após o malware ser exposto publicamente pela Cyfirma no final de agosto de 2023, EVLF, o ator de ameaça por trás do projeto, decidiu encerrar a atividade, mas não antes de vender seu canal no Telegram para um ator de ameaça de língua chinesa.
Até maio de 2024, diz-se que a EVLF parou de desenvolver o malware devido a golpistas e versões crackeadas, mas disse que está trabalhando em uma nova versão baseada na web que pode ser acessada de qualquer máquina.
"Embora o site do Civil Defense também anuncie suporte para macOS e iPhones, apenas payloads para Windows e Android estavam disponíveis no momento da análise," disse o Google.
A seção de FAQ do site contém uma justificativa tensa para o aplicativo Android ser hospedado fora da App Store, sugerindo que é um esforço para 'proteger a anonimidade e segurança' de seus usuários, e direcionando-os a um conjunto de instruções em vídeo acompanhantes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...