Um novo ataque de phishing está mirando entidades ucranianas. Segundo um relatório da ESET, um grupo de hackers até então desconhecido está se passando pela empresa de cibersegurança eslovaca para distribuir instaladores falsos do software ESET, contaminados com o backdoor Kalambur.
Quem está por trás dos ataques?
A campanha, detectada em maio de 2025, foi nomeada de InedibleOchotense pela ESET e é considerada alinhada a interesses russos. Os investigadores apontam semelhanças entre essa operação e campanhas já atribuídas a subgrupos do grupo de hackers Sandworm (APT44) — conhecido por ataques destrutivos contra a Ucrânia.
Esse grupo também apresenta táticas semelhantes às observadas pelo CERT-UA (como UAC-0212 e UAC-0125) e pela empresa EclecticIQ, que documentou a utilização do backdoor BACKORDER.
Como o ataque funciona
Os criminosos enviam e-mails de spear-phishing e mensagens via Signal, alegando serem da ESET. Eles informam falsamente que foi detectado um “processo suspeito” associado ao computador da vítima, incentivando o download de um suposto instalador de segurança.
Domínios falsos utilizados:
- esetsmart[.]com
- esetscanner[.]com
- esetremover[.]com
O que o instalador malicioso faz?
Ao ser executado, o instalador distribui:
- O ESET AV Remover legítimo, para evitar suspeitas
- Uma versão trojanizada do backdoor Kalambur (também chamado SUMBUR)
O backdoor é escrito em C#, utiliza a rede Tor para comunicação com os servidores de comando e controle (C2) e possui capacidades como:
- Remover o OpenSSH
- Ativar o acesso remoto via RDP (porta 3389)
- Garantir persistência no sistema e realizar espionagem
Atividades destrutivas do Sandworm (Wipers)
A ESET também identificou que o grupo Sandworm continua executando ataques com malwares do tipo wiper, projetados para apagar dados. Entre abril e agosto de 2025, foram utilizadas variantes como:
- ZEROLOT
- Sting
Os setores mais afetados foram:
- Governo
- Energia
- Logística
- Produção e exportação de grãos
RomCom explora falha no WinRAR
Outro grupo ativo durante o período foi o RomCom (também conhecido como Storm-0978, UNC2596 ou Void Rabisu). Em julho de 2025, eles exploraram a vulnerabilidade CVE-2025-8088 no WinRAR (pontuação CVSS: 8,8) para distribuir ferramentas maliciosas como:
- SnipBot (RomCom RAT 5.0)
- RustyClaw
- Agentes do framework Mythic
Segundo a AttackIQ, o RomCom evoluiu de uma ferramenta voltada ao crime cibernético para um instrumento utilizado em operações de espionagem ligadas a interesses estatais russos.
Conclusão
A campanha que utiliza instaladores falsos da ESET demonstra como grupos de ameaça exploram a confiança em marcas conhecidas para comprometer alvos de maneira furtiva. Ao combinar softwares legítimos com backdoors como Kalambur, os atacantes aumentam significativamente suas chances de sucesso e dificultam a detecção.
Como se proteger:
- Baixar softwares apenas de sites oficiais
- Verificar cuidadosamente o endereço dos domínios acessados
- Desconfiar de e-mails alarmistas ou com erros de idioma
- Manter soluções de segurança atualizadas
- Evitar instalar programas enviados por e-mail ou mensagens instantâneas
