Szkodliwe oprogramowanie rozpowszechniane pod przykrywką narzędzia DDoS skierowanego do Rosji

Badacze bezpieczeństwa z Cisco Talos donieśli o nowym zagrożeniu rozpowszechnianym w przebraniu. Złośliwy pakiet jest reklamowany za pośrednictwem Telegramu i udaje rozproszony zestaw narzędzi do odmowy usługi, który ma trafić w rosyjskie cele. Celem są oczywiście proukraińscy hakerzy i organizacje, które mogą próbować przeprowadzić cybernetyczne kontrataki na Rosję.

Jednak zamiast narzędzia DDoS pakiet zawiera szkodliwe oprogramowanie Phoenix do kradzieży informacji.

Phoenix udaje narzędzie DDoS

Złośliwe oprogramowanie Phoenix istnieje już od jakiegoś czasu, po raz pierwszy pojawiło się na pierwszych stronach gazet w 2019 roku, kiedy zaczęło się jako skromny keylogger. Złośliwy zestaw narzędzi, który Phoenix ma obecnie do swojej dyspozycji, został od tego czasu znacznie rozszerzony. Moduły unikania wykrycia i funkcje antyanalizy zostały połączone z początkową platformą keyloggera, aby zmienić keyloggera w to, czym jest dzisiaj.

Złośliwe oprogramowanie jest rozpowszechniane za pomocą wiadomości, która reklamuje je jako narzędzie do atakowania „rosyjskich witryn” i twierdzi, że narzędzie automatycznie uzyska docelowe witryny z serwera. Wiadomość wykorzystywana do rozprzestrzeniania szkodliwego oprogramowania nazywa się archiwum „Disbalancer.zip”.

Ma to na celu naśladowanie oryginalnego narzędzia disBalancera uruchomionego przez proukraińską organizację. Narzędzie disBalancer jest przeznaczone, zgodnie z własnym opisem, do „celowania w rosyjskie strony propagandowe”. Łatwo zauważyć, jak ktoś, kto szuka oryginalnego narzędzia, może w końcu pobrać ładunek Phoenix, podszywając się pod dysbalans.

Stary pies, nowe sztuczki

Według badaczy z Cisco, ta kampania rozpowszechniająca Phoenix nie jest prowadzona przez nowych, pełnych nadziei hakerów, ale jest prowadzona przez zorganizowany zespół aktorów, którzy działają od końca 2021 roku.

Wersja Phoenix użyta w tym przypadku wychwytuje informacje o kryptowalutach i poświadczenia z systemu ofiary, a następnie pobiera zeskrobane dane na rosyjski adres IP za pomocą portu 6666. Dokładnie to samo parowanie adresu IP i portu zostało użyte w listopadzie 2021 r.

Obecna sytuacja na Ukrainie, w Rosji i ogólnie w Europie oferuje wiele możliwości sprytnych sztuczek socjotechnicznych i dystrybucji większej ilości złośliwego oprogramowania przy użyciu prostych, ale skutecznych sztuczek i wprowadzania w błąd. Niedawne kampanie phishingowe prowadzone przez różne podmioty zajmujące się zagrożeniami były skierowane na europejskie podmioty zajmujące się napływem ukraińskich uchodźców, zmierzające na zachód.