Rosszindulatú programok, amelyeket a DDoS-eszközök színében terjesztettek, célozva Oroszországot

A Cisco Talos biztonsági kutatói egy új fenyegetésről számoltak be, amelyet álruhában terjesztenek. A rosszindulatú csomagot a Telegramon keresztül hirdetik, és elosztott szolgáltatásmegtagadási eszköztárnak adják ki, amely orosz célpontokat céloz meg. A célpontok nyilvánvalóan ukrán-barát hackerek és szervezetek, akik esetleg kiberellentámadást próbálnak indítani Oroszország ellen.

A csomag azonban DDoS eszköz helyett a Phoenix infostealer kártevőt tartalmazza.

A Phoenix DDoS eszközként jelenik meg

A Phoenix kártevő már egy ideje létezik, először 2019-ben került a címlapokra, amikor szerényebb keyloggerként indult. A Phoenix jelenleg rendelkezésére álló rosszindulatú eszközkészletet azóta jelentősen kibővítették. Az észlelési kitérő modulok és az anti-analízis képességek a kezdeti keylogger platformra lettek csavarozva, hogy a keyloggert olyanná alakítsák, amilyen ma van.

A rosszindulatú programot egy üzenet segítségével terjesztik, amely "orosz oldalak" támadására szolgáló eszközként hirdeti, és azt állítja, hogy az eszköz automatikusan megszerzi a célwebhelyeket egy szerverről. A kártevő terjesztésére használt üzenet az archívumot "Disbalancer.zip"-nek nevezi.

Ennek célja az eredeti disBalancer eszköz utánzása, amelyet egy ukránbarát szervezet indított el. A disBalancer eszköz saját leírása szerint "orosz propagandawebhelyek megcélzására" szolgál. Könnyen belátható, hogy valaki, aki az eredeti eszközt keresi, hogyan töltheti le a Phoenix rakományát, és kiegyensúlyozónak adja ki magát.

Régi kutya, új trükkök

A Cisco kutatói szerint ezt a Phoenixet terjesztő kampányt nem új reménybeli hackerek hajtják végre, hanem a 2021 vége óta jelenlévő szereplők szervezett csapata.

A Phoenix jelen esetben használt verziója kriptovaluta-információkat és hitelesítő adatokat kap el az áldozat rendszerétől, majd a kimásolt adatokat egy orosz IP-címre szippantja a 6666-os porton keresztül. Pontosan ugyanazt az IP és port párosítást használták 2021 novemberében.

A jelenlegi helyzet Ukrajnában, Oroszországban és általában Európában rengeteg lehetőséget kínál az okos szociális mérnöki mutatványokra és további rosszindulatú programok terjesztésére egyszerű, de hatékony trükkök és félrevezetés segítségével. A különböző fenyegetés szereplői által a közelmúltban indított adathalász kampányok a nyugat felé tartó ukrán menekültáradattal foglalkozó európai entitásokat célozták meg.