La campagna di phishing prende di mira i funzionari dell'UE che lavorano con i rifugiati ucraini

Mentre la guerra in Ucraina continua, i ricercatori della sicurezza hanno scoperto quello che sembra un nuovo tentativo di guerra informatica segreta. Questa volta, gli attori della minaccia hanno preso di mira il personale e i funzionari dell'Unione europea che stanno lavorando con i rifugiati ucraini in fuga dal loro paese dilaniato dalla guerra.

L'attacco di phishing utilizza la posta elettronica compromessa

I ricercatori della società di sicurezza Proofpoint hanno pubblicato un rapporto sull'attacco. Secondo Proofpoint, un "probabile" attore sostenuto dallo stato sta prendendo di mira i funzionari del governo europeo che stanno lavorando per gestire l'ondata di profughi provenienti dall'Ucraina. L'attacco di phishing è stato effettuato utilizzando un indirizzo e-mail appartenente all'esercito ucraino, che è stato precedentemente compromesso dall'autore della minaccia.

Il payload contenuto nell'e-mail di phishing comprende un file Excel allegato denominato "list of people.xlsx" che contiene macro dannose incorporate. Se eseguita, la macro tenta di catturare un payload secondario dannoso scritto in Lua e chiamato "SunSeed". L'e-mail da cui provengono i messaggi di phishing appartiene a un membro dell'esercito ucraino e da un dominio di posta ukr.net.

Per quanto riguarda l'aspetto dell'ingegneria sociale delle e-mail di phishing, il messaggio è arrivato con l'oggetto "IN CONFORMITÀ CON LA DECISIONE DELL'INCONTRO DI EMERGENZA DEL CONSIGLIO DI SICUREZZA DELL'UCRAINA DEL 24.02.2022". Ciò è stato collegato alla riunione di emergenza tenuta dal Consiglio di sicurezza della NATO il giorno precedente la data nel titolo dell'e-mail. Il nome del file dell'allegato, invece, aveva lo scopo di richiamare la "lista delle uccisioni" di obiettivi ucraini che ha fatto notizia a fine febbraio.

Come funziona il malware SunSeed

Il payload installa una serie di dipendenze Lua, quindi esegue lo script SunSeed Lua dannoso e infine imposta la persistenza tramite l'uso di un file .lnk di collegamento. C'è anche una versione modificata di un legittimo interprete di codice Lua installato. L'interprete in questione si chiama sppsvc.exe e questa particolare versione è stata modificata in modo che non restituisca nulla alla console di Windows, nel tentativo di nascondere l'attività del malware.

Il file di collegamento utilizzato per la persistenza si chiama Software Protection Service.lnk e viene creato in ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Nonostante la convinzione di Proofpoint che si tratti di un'entità sostenuta dallo stato, non ci sono prove concrete che indichino un gruppo specifico in un paese specifico. Questo rapporto arriva in un momento in cui, secondo quanto riferito, oltre un milione di ucraini sono fuggiti dal paese e stanno cercando rifugio oltre i confini dell'Ucraina. L'afflusso di rifugiati ucraino ha persino spinto il Giappone, che tradizionalmente aveva quote annuali di rifugiati estremamente basse, ad aprire i suoi confini per le persone in fuga dalla guerra.