Em 17 de dezembro de 2022, o Centro de Inovações e Desenvolvimento de Tecnologias de Defesa do Ministério da Defesa da Ucrânia informou a Equipe de Resposta a Emergências de Computadores do Governo da Ucrânia (CERT-UA) de ser alvo de um ataque baseado em malware.
As mensagens de spear phishing foram enviadas de um endereço de e-mail comprometido pertencente a um funcionário do Ministério da Defesa, bem como mensageiros. A mensagem insta o destinatário a atualizar os certificados no sistema “DELTA”, também usa um documento PDF anexado que imita resumos legítimos da unidade ISTAR do Departamento de Polícia de Zaporizhzhia.
“O Delta é um sistema de coleta, processamento e exibição de informações sobre forças inimigas, coordenação de forças de defesa, além de fornecer consciência situacional de acordo com os padrões da OTAN, desenvolvido pelo Centro de Inovação e Desenvolvimento de Tecnologias de Defesa do Ministério da Defesa da Ucrânia.” afirma o exército ucraniano.
De acordo com o CERT-UA, o documento contém um link para um arquivo ZIP malicioso (“certificates_rootca.zip”) que está hospedado em um falso domínio Delta.
Ao executar um executável “certificates_rootCA.exe” incluído no arquivo, ele instalará dois malwares nos sistemas comprometidos; o malware de roubo de informações FateGrab usado para roubar dados confidenciais (e-mails, bancos de dados, scripts e documentos) e o malware StealDeal que rouba dados do navegador da Internet.
Esses arquivos são projetados para implantar dois tipos de malware em sistemas comprometidos, incluindo um chamado FateGrab, que coleta e-mails, bancos de dados, scripts e documentos, e outro chamado StealDeal, que coleta dados do navegador da Internet e muito mais.
“Se você seguir o link, o arquivo “certificates_rootca.zip” contendo o arquivo executável “certificates_rootCA.exe” protegido por VMProtect será baixado em seu computador (o arquivo foi compilado e assinado digitalmente em 15/12/2022).” lê o comunicado publicado pelo CERT-UA.
“Após a execução do arquivo EXE, vários arquivos DLL, também protegidos pelo VMProtect, e um arquivo “ais.exe” simulando o processo de instalação do certificado serão criados no PC. Posteriormente, serão lançados dois programas maliciosos no computador da vítima”: lê-se no alerta publicado pelo CERT-UA. “FateGrab (“FileInfo.dll”; “ftp_file_graber.dll”), cuja funcionalidade envolve o roubo de arquivos com extensões: ‘.txt’, ‘.rtf’, ‘. xls’, ‘.xlsx’, ‘.ods’, ‘.cmd’, ‘.pdf’, ‘.vbs’, ‘.ps1’, ‘.one’, ‘.kdb’, ‘.kdbx’, ‘. doc’, ‘.docx’, ‘.odt’, ‘.eml’, ‘.msg’, ‘.email’ com sua subsequente exfiltração via FTP e StealDeal (“procsys.dll”; “StealDll.dll”) , projetado, entre outras coisas, para roubar dados do navegador da Internet”.
As autoridades ucranianas atribuem o ataque ao agente da ameaça rastreado como UAC-0142.
Fonte: Security Affairs
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
