Pesquisadores de cibersegurança descobriram uma nova operação de influência visando a Ucrânia que utiliza e-mails de spam para propagar desinformação relacionada à guerra.
A atividade foi associada a atores de ameaças alinhados à Rússia pela empresa eslovaca de cibersegurança ESET, que também identificou uma campanha de spear-phishing visando uma empresa de defesa ucraniana em outubro de 2023 e uma agência da União Europeia em novembro de 2023 com o objetivo de coletar credenciais de login da Microsoft por meio de páginas de destino falsas.
Operation Texonto, como toda a campanha foi nomeada, ainda não foi atribuída a um ator específico de ameaças, embora alguns elementos dela, particularmente os ataques de spear-phishing, se sobrepõem a COLDRIVER, que tem um histórico de colheita de credenciais por meio de páginas de login falsas.
A operação de desinformação ocorreu em duas ondas em novembro e dezembro de 2023, com as mensagens de e-mail carregando anexos em PDF e conteúdo relacionado a interrupções de aquecimento, falta de medicamentos e escassez de alimentos.
A onda de novembro visou não menos que algumas centenas de destinatários na Ucrânia, incluindo o governo, empresas de energia e indivíduos.
No momento, não se sabe como a lista de alvos foi criada.
"O que é interessante observar é que o e-mail foi enviado de um domínio se passando pelo Ministério da Política Agrária e Alimentação da Ucrânia, enquanto o conteúdo é sobre a falta de medicamentos e o PDF está abusando do logotipo do Ministério da Saúde da Ucrânia", disse ESET em um relatório compartilhado com The Hacker News.
"Possivelmente é um erro dos atacantes ou, pelo menos, mostra que eles não se importam com todos os detalhes."
A segunda campanha de e-mails de desinformação que começou em 25 de dezembro de 2023 é notável por expandir seu direcionamento além da Ucrânia para incluir falantes de ucraniano em outras nações europeias, devido ao fato de todas as mensagens estarem em ucraniano.
Essas mensagens, enquanto desejam aos destinatários um feliz período de festas, também adotam um tom mais sombrio, chegando a sugerir que amputem um de seus braços ou pernas para evitar o recrutamento militar.
"Alguns minutos de dor, mas depois uma vida feliz!", diz o e-mail.
A ESET disse que um dos domínios usados para propagar os e-mails de phishing em dezembro de 2023, infonotification[.]com, também se envolveu no envio de centenas de mensagens de spam a partir de 7 de janeiro de 2024, redirecionando possíveis vítimas para um falso site de farmácia canadense.
Não está claro por que esse servidor de e-mail foi usado para propagar um golpe de farmácia, mas suspeita-se que os atores de ameaças decidiram monetizar sua infraestrutura para ganhar dinheiro financeiro depois de perceber que seus domínios foram detectados pelos defensores.
"A Operation Texonto mostra mais um uso de tecnologias para tentar influenciar a guerra", disse a empresa.
O desenvolvimento ocorre quando a Meta, em seu relatório trimestral Adversarial Threat Report, disse que derrubou três redes em suas plataformas originárias da China, Mianmar e Ucrânia que se envolveram em comportamento inautêntico coordenado (CIB).
Embora nenhuma das redes fosse da Rússia, a empresa de análise de mídia social Graphika disse que o volume de postagens da mídia controlada pelo estado russo caiu 55% em relação aos níveis pré-guerra e o engajamento despencou 94% em comparação com dois anos atrás.
"As mídias estatais russas aumentaram seu foco em conteúdo de infoentretenimento não político e narrativas autopromocionais sobre a Rússia desde o início da guerra", disse ela.
"Isso pode refletir um esforço fora da plataforma para atender ao público russo doméstico depois que vários países ocidentais bloquearam os meios de comunicação em 2022."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...