Uma campanha de spearphishing com duração de apenas um dia teve como alvo membros do governo regional ucraniano e organizações essenciais para o esforço humanitário no país, incluindo o Comitê Internacional da Cruz Vermelha, UNICEF e diversas ONGs.
Batizada de PhantomCaptcha, a ação tentou enganar as vítimas para que executassem comandos usados em ataques do tipo ClickFix, disfarçados como prompts de verificação CAPTCHA do Cloudflare, com o objetivo de instalar um WebSocket Remote Access Trojan (RAT).
Segundo o SentinelLABS, divisão de pesquisa em ameaças da SentinelOne, a campanha teve início e término em 8 de outubro.
O grupo responsável pelo ataque dedicou tempo e recursos consideráveis para montar a infraestrutura necessária: alguns dos domínios utilizados foram registrados ainda no final de março.
O ataque começou com e-mails que se passavam pelo Gabinete do Presidente da Ucrânia e continham anexos PDF maliciosos.
Esses anexos direcionavam para um domínio que imitava a plataforma de comunicação Zoom (zoomconference[.]app).
Ao clicar no link falso de conferência Zoom, o usuário passava por um processo automático de verificação no navegador, antes de ser redirecionado para a suposta plataforma.
Durante essa etapa, um identificador único do cliente era gerado e enviado ao servidor dos criminosos por meio de uma conexão WebSocket.
“O navegador da vítima era redirecionado para uma reunião Zoom legítima e protegida por senha quando o servidor WebSocket confirmava o identificador recebido”, explica a análise do SentinelLABS.
De acordo com os pesquisadores, esse método possibilitava que o criminoso realizasse chamadas de engenharia social em tempo real com a vítima.
Caso o identificador do cliente não fosse confirmado, a vítima precisava passar por outra verificação de segurança, para comprovar que era uma pessoa real e não um robô.
Nesse processo, os usuários eram instruídos, em ucraniano, a completar um CAPTCHA falso, pressionando um botão para copiar um "token" e colá-lo no Prompt de Comando do Windows.
Essa ação de copiar e colar, na verdade, executava um comando PowerShell que baixava e rodava um script malicioso (cptch), responsável por entregar a segunda etapa da carga maliciosa: uma ferramenta de reconhecimento e coleta de informações do sistema.
Esse utilitário coleta dados como nome do computador, informações de domínio, nome do usuário, ID do processo e UUID do sistema, enviando-os para o servidor de comando e controle (C2).
A carga final consiste em um RAT baseado em WebSocket, leve e capaz de executar comandos remotamente, além de exfiltrar dados usando comandos JSON codificados em base64.
Os pesquisadores identificaram que essa campanha de curto prazo estava ligada a outra operação posterior, que mirava usuários em Lviv, Ucrânia, com aplicativos Android temáticos adultos ou ferramentas para armazenamento em nuvem.
Esses apps funcionam como spyware, monitorando a localização em tempo real da vítima, logs de chamadas, lista de contatos e imagens, enviando essas informações aos atacantes.
Embora o SentinelLABS não tenha feito atribuição direta dos ataques ClickFix com o falso CAPTCHA “I am not a robot”, os analistas destacam que o RAT WebSocket estava hospedado em infraestrutura russa.
Além disso, a campanha com apps adultos pode ter ligação com desenvolvedores na Rússia ou Belarus.
Complementando essa investigação, um relatório recente do Google Threat Intelligence Group (GTIG) descreve um desafio malicioso “I am not a robot” usado em ataques atribuídos ao grupo ColdRiver (também conhecido como Star Blizzard, UNC4057, Callisto), vinculado ao serviço de inteligência russo (FSB).
O GTIG ressalta que os hackers do ColdRiver foram ágeis ao operacionalizar novas famílias de malware logo após pesquisadores tornarem públicas ferramentas antigas usadas por eles em operações de ciberespionagem.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...