Malware distribuído sob o disfarce de ferramenta DDoS visando a Rússia
Pesquisadores de segurança da Cisco Talos relataram uma nova ameaça sendo distribuída disfarçada. O pacote malicioso está sendo anunciado através do Telegram e se apresenta como um kit de ferramentas de negação de serviço distribuído destinado a atingir alvos russos. Os alvos são obviamente hackers e organizações pró-ucranianas que podem tentar lançar contra-ataques cibernéticos à Rússia.
No entanto, em vez de uma ferramenta DDoS, o pacote contém o malware infostealer Phoenix.
Phoenix se apresenta como ferramenta DDoS
O malware Phoenix existe há algum tempo, primeiro fazendo manchetes em 2019, quando começou como um keylogger mais humilde. O conjunto de ferramentas maliciosos que o Phoenix tem à sua disposição atualmente foi significativamente expandido desde então. Módulos de evasão de detecção e recursos anti-análise foram incorporados à plataforma de keylogger inicial para transformar o keylogger no que é hoje.
O malware é distribuído usando uma mensagem que o anuncia como uma ferramenta para atacar "sites russos" e afirma que a ferramenta obterá automaticamente seus sites de destino de um servidor. A mensagem usada para espalhar o malware chama o arquivo "Disbalancer.zip".
Isso é feito para imitar a ferramenta disBalancer original lançada por uma organização pró-ucraniana. A ferramenta disBalancer destina-se, de acordo com sua própria descrição, a "segmentar sites de propaganda russos". É fácil ver como alguém procurando a ferramenta original pode acabar baixando a carga útil do Phoenix posando como disBalancer.
Cão velho, novos truques
De acordo com os pesquisadores da Cisco, esta campanha de divulgação de Phoenix não é conduzida por novos hackers esperançosos, mas está sendo executada por uma equipe organizada de atores que existem desde o final de 2021.
A versão do Phoenix usada nesta instância captura informações e credenciais de criptomoeda do sistema da vítima e, em seguida, transfere os dados raspados para um endereço IP russo usando a porta 6666. O mesmo pareamento de IP e porta foi usado em novembro de 2021.
A situação atual na Ucrânia, Rússia e Europa em geral oferece muitas oportunidades para acrobacias inteligentes de engenharia social e a distribuição de mais malware usando truques simples, porém eficazes, e desorientação. Campanhas recentes de phishing lançadas por diferentes agentes de ameaças visaram entidades europeias que lidam com o influxo de refugiados ucranianos em direção ao oeste.
