Pesquisadores de segurança estão pedindo aos atores pró-ucranianos que tenham cuidado ao baixar ferramentas DDoS para atacar a Rússia, pois podem estar presos em uma armadilha com malware de roubo de informações.
No final de fevereiro, o vice-primeiro-ministro ucraniano, Mykhailo Fedorov, convocou um “exército de TI” voluntário de hackers para alvos russos de DDoS.
No entanto, Cisco Talos afirmou que os cibercriminosos oportunistas estão procurando explorar a subsequente manifestação generalizada de apoio à nação do Leste Europeu.
Especificamente, ele detectou postagens no Telegram oferecendo ferramentas DDoS que foram realmente carregadas com malware. Uma dessas ferramentas, apelidada de “Liberator”, é oferecida por um grupo que se autodenomina “disBalancer”. Embora legítimo, foi falsificado por outros, disse a Cisco.
“O arquivo oferecido na página do Telegram acabou sendo malware, especificamente um infostealer projetado para comprometer usuários desavisados”, explicou.
O infostealer
O malware lançado nos sistemas das vítimas realiza verificações antidepuração antes de ser executado e, em seguida, segue uma etapa de injeção de processo para carregar o ladrão de informações Phoenix na memória.
Phoenix foi visto pela primeira vez no verão de 2019, vendido no submundo do crime cibernético como MaaS (malware como serviço) por US$ 15/mês ou US$ 80 por uma assinatura vitalícia.
O ladrão de informações específico pode coletar dados de navegadores da Web, ferramentas VPN, Discord, locais de sistemas de arquivos e carteiras de criptomoedas e enviá-los para um endereço remoto, neste caso, um IP russo.
“O malware neste caso despeja uma variedade de credenciais e uma grande quantidade de informações relacionadas a criptomoedas, incluindo carteiras e informações de metamask, que são comumente associadas a tokens não fungíveis (NFTs)”.
Não há como diferenciar as falsificações maliciosas da ferramenta DDoS real, pois nenhuma é assinada digitalmente, alertou o fornecedor.
Como aqueles por trás dessa atividade maliciosa distribuem infostealers desde novembro passado, a Cisco avaliou que não é o trabalho de novos atores, mas daqueles que procuram ganhar dinheiro rápido com a guerra na Ucrânia.
No entanto, essas táticas podem aumentar se a Rússia estiver sob ataque DDoS sustentado, alertou a Cisco.
“Neste caso, encontramos alguns cibercriminosos distribuindo um infostealer, mas poderia facilmente ter sido um ator patrocinado pelo Estado ou um grupo corsário mais sofisticado trabalhando em nome de um Estado-nação”, concluiu.
“Lembramos aos usuários que tomem cuidado com a instalação de software cujas origens são desconhecidas, especialmente software que está sendo lançado em salas de bate-papo aleatórias na Internet.”
A notícia vem depois que o governo russo revelou nesta semana que hackers causaram interrupções temporárias em vários sites de agências, visando um widget carregado externamente usado para coletar estatísticas de visitantes.
Pesquisadores de segurança também observaram hacktivistas pró-ucranianos procurando e excluindo bancos de dados russos em nuvem.
Os pesquisadores da Talos descobriram que esse IP específico distribui o Phoenix desde novembro de 2021. Portanto, a recente mudança de tema indica que esta campanha é apenas uma tentativa oportunista de explorar a guerra na Ucrânia para obter lucro financeiro.
Fonte: InfoSecurity Magazine e Bleeping Computer
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
