Criminosos espalham malware para atingir o Exército de TI da Ucrânia

criminosos-espalham-malware-para-atingir-o-exercito-de-ti-da-ucrania

Cibercriminosos estão espalhando malware para roubo de senhas disfarçado de ferramenta de segurança para atingir o Exército de TI da Ucrânia. Essa nova campanha foi descoberta por pesquisadores da Cisco Talos.

Os agentes de ameaças estão usando malware infostealer que imita uma ferramenta DDoS chamada “Liberator”. A ferramenta Liberator está circulando entre hackers pró-Ucrânia que a usam para atingir sites de propaganda russos.

Exército de TI ucraniano

Depois que a Rússia começou a invadir a Ucrânia, o ministro ucraniano da Transformação Digital, Mykhaylo Fedorov, convocou uma ação contra a Rússia que tentava criar um “Exército de TI”, composto por voluntários, para lançar uma ofensiva massiva contra a Rússia. Um canal do Telegram foi usado para coordenar os esforços e planejar os ciberataques que serão conduzidos pelo Exército de TI.

De acordo com a Cisco, “Os cibercriminosos oportunistas estão tentando explorar os simpatizantes ucranianos, oferecendo malwares que pretendem ser ferramentas cibernéticas ofensivas para atingir entidades russas. Uma vez baixados, esses arquivos infectam usuários inconscientes em vez de entregar as ferramentas originalmente anunciadas”.

“Em um desses casos, observamos um agente de ameaças oferecendo uma ferramenta de negação de serviço distribuída (DDoS) no Telegram destinada a ser usada contra sites russos. O arquivo baixado é na verdade um ladrão de informações que infecta a vítima involuntária com malware projetado para despejar credenciais e informações relacionadas a criptomoedas”, disse a empresa.

Malware atinge exército de TI da Ucrânia

Agora que a ferramenta Liberator contaminada foi anunciada no Telegram, a versão original da ferramenta foi desenvolvida por um grupo chamado disBalancer. O Liberator é anunciado como uma ferramenta DDoS para lançar ataques contra “sites de propaganda russos”.

A ferramenta foi desenvolvida para permitir que pessoas não técnicas lancem facilmente um ataque contra uma lista de sites russos obtidos de um servidor. Depois que o malware é descartado nos sistemas das vítimas, ele executa verificações antidepuração e segue uma etapa de injeção de processo para carregar o ladrão de informações do Phoenix na memória.

A variante empregada no ataque contra o Exército de TI é capaz de roubar uma ampla gama de dados, incluindo dados de navegadores da Web, ferramentas VPN, Discord, Steam e carteiras de criptomoedas. Os dados coletados são enviados para um endereço IP remoto (95[.]142[.]46[.]35) na porta 6666.

Os especialistas da Talos acreditam que esta é uma campanha oportunista, o mesmo endereço IP está distribuindo Phoenix desde novembro de 2021. E adverte: “Lembramos aos usuários que tomem cuidado com a instalação de software cujas origens são desconhecidas, especialmente software que está sendo lançado em salas de bate-papo aleatórias na Internet”.

Via: SecurityAffairs

Acesse a versão completa
Sair da versão mobile