Campanha de phishing visa funcionários da UE que trabalham com refugiados ucranianos

À medida que a guerra na Ucrânia continua, pesquisadores de segurança descobriram o que parece ser uma nova tentativa de guerra cibernética secreta. Desta vez, os atores da ameaça visaram funcionários e funcionários da União Europeia que estão trabalhando com refugiados ucranianos que escapam de seu país devastado pela guerra.

Ataque de phishing usa e-mail comprometido

Pesquisadores da empresa de segurança Proofpoint publicaram um relatório sobre o ataque. De acordo com a Proofpoint, um "provável" ator apoiado pelo Estado tem como alvo funcionários do governo europeu que estão trabalhando para lidar com a onda de refugiados vinda da Ucrânia. O ataque de phishing foi realizado usando um endereço de e-mail pertencente ao exército ucraniano, que já havia sido comprometido pelo agente da ameaça.

A carga contida no e-mail de phishing inclui um arquivo Excel anexado chamado "list of people.xlsx", que contém macros maliciosas incorporadas. Se executada, a macro tenta pegar uma carga secundária maliciosa escrita em Lua e chamada "SunSeed". O email de origem das mensagens de phishing pertence a um membro das forças armadas ucranianas e de um domínio de email ukr.net.

Quando se trata do aspecto de engenharia social dos e-mails de phishing, a mensagem veio com a linha de assunto "DE ACORDO COM A DECISÃO DA REUNIÃO DE EMERGÊNCIA DO CONSELHO DE SEGURANÇA DA UCRÂNIA DE 24.02.2022". Isso estava ligado à reunião de emergência realizada pelo Conselho de Segurança da OTAN no dia anterior à data no título do e-mail. O nome do arquivo do anexo, por outro lado, pretendia invocar a "lista de mortes" de alvos ucranianos que foram notícia no final de fevereiro.

Como funciona o malware SunSeed

A carga útil instala várias dependências Lua, depois executa o script malicioso SunSeed Lua e, finalmente, configura a persistência através do uso de um arquivo .lnk de atalho. Há também uma versão modificada de um interpretador de código Lua legítimo instalado. O interpretador em questão é chamado sppsvc.exe e esta versão em particular foi modificada para que não produza nada no console do Windows, em um esforço para encobrir a atividade do malware.

O arquivo de atalho usado para persistência é chamado Software Protection Service.lnk e é criado em ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Apesar da crença da Proofpoint de que esta é uma entidade apoiada pelo Estado, não há evidências concretas que apontem para qualquer grupo específico em qualquer país específico. Este relatório chega em um momento em que mais de um milhão de ucranianos fugiram do país e estão buscando refúgio além das fronteiras da Ucrânia. O afluxo de refugiados ucranianos até levou o Japão, que tradicionalmente tinha cotas anuais de refugiados extremamente baixas, a abrir suas fronteiras para pessoas que fogem da guerra.