PicassoLoader usado em ataques direcionados na Ucrânia e Polônia

Uma série de campanhas direcionadas foi lançada para adquirir informações confidenciais e estabelecer acesso remoto persistente a sistemas comprometidos na Ucrânia e na Polônia. Órgãos governamentais, organizações militares e civis foram vítimas desses ataques.

Abrangendo de abril de 2022 a julho de 2023, essas invasões empregam várias táticas, incluindo iscas de phishing e documentos falsos. Um malware proeminente usado nesse esquema é o PicassoLoader, que é implantado por meio de malware de downloader. Uma vez infectados, os sistemas são comprometidos usando Cobalt Strike Beacon e njRAT.

A pesquisadora do Cisco Talos, Vanja Svajcer, explicou que os ataques envolvem vários estágios, começando com documentos maliciosos do Microsoft Office, geralmente nos formatos Excel ou PowerPoint. Posteriormente, um downloader executável e uma carga oculta em um arquivo de imagem são utilizados para evitar a detecção.

Acredita-se que o agente da ameaça GhostWriter, também conhecido como UAC-0057 ou UNC1151, seja responsável por algumas dessas atividades. Seus motivos se alinham com os do governo bielorrusso.

Vale a pena notar que um subconjunto desses ataques já foi relatado no ano passado pelo CERT-UA da Ucrânia e pelo Fortinet FortiGuard Labs. Uma instância envolveu o uso de documentos do PowerPoint carregados de macros para distribuir o malware Agent Tesla em julho de 2022.

As cadeias de infecção são projetadas para persuadir as vítimas a habilitar macros, levando à implantação de um downloader de DLL chamado PicassoLoader. Esse downloader então se comunica com um site controlado pelo invasor para buscar o malware final, que está incorporado em um arquivo de imagem legítimo.

O CERT-UA revelou recentemente uma série de operações de phishing distribuindo o malware SmokeLoader, bem como um ataque de smishing destinado a assumir o controle não autorizado de contas do Telegram.

Mais atores de ameaças visando a Ucrânia

Em um incidente separado, o CERT-UA divulgou uma campanha de espionagem cibernética visando organizações estatais e representantes da mídia na Ucrânia. Essa campanha utilizou e-mail e mensageiros instantâneos para distribuir arquivos que, ao serem lançados, executavam um script do PowerShell chamado LONEPAGE. Este script buscou cargas úteis do próximo estágio, como um ladrão de navegador (THUMBCHOP) e um keylogger (CLOGFLAG).

O GhostWriter é apenas um dos vários agentes de ameaças que têm como alvo a Ucrânia. O APT28, um grupo estatal russo, também é conhecido por usar anexos HTML em e-mails de phishing. Esses e-mails solicitam que os destinatários alterem suas senhas para UKR.NET e Yahoo! contas devido a supostas atividades suspeitas. No entanto, os links redirecionam as vítimas para páginas de destino falsas, projetadas para roubar suas credenciais.

Esses desenvolvimentos coincidem com os hackers da inteligência militar russa (GRU) adotando um "manual padrão de cinco fases" para suas operações disruptivas contra a Ucrânia. Essa estratégia visa intensificar a velocidade, escala e impacto de seus ataques.