Вредоносное ПО, распространяемое под видом DDoS-инструмента, ориентировано на Россию

Исследователи безопасности из Cisco Talos сообщили о новой замаскированной угрозе. Вредоносный пакет рекламируется через Telegram и выдает себя за распределенный инструментарий отказа в обслуживании, предназначенный для поражения российских целей. Целями, очевидно, являются проукраинские хакеры и организации, которые могут попытаться провести кибер-контратаку против России.

Однако вместо DDoS-инструмента пакет содержит вредоносную программу Phoenix infostealer.

Phoenix выдает себя за DDoS-инструмент

Вредоносное ПО Phoenix существует уже некоторое время, впервые попав в заголовки новостей в 2019 году, когда оно начиналось как более скромный кейлоггер. С тех пор набор вредоносных инструментов, которым сейчас располагает Phoenix, значительно расширился. Модули уклонения от обнаружения и возможности антианализа были встроены в исходную платформу кейлоггера, чтобы превратить кейлоггер в то, чем он является сегодня.

Вредоносное ПО распространяется с помощью сообщения, которое рекламирует его как инструмент для атаки на «российские сайты» и утверждает, что инструмент автоматически получает целевые веб-сайты с сервера. Сообщение, используемое для распространения вредоносного ПО, называет архив «Disbalancer.zip».

Это сделано для имитации оригинального инструмента disBalancer, запущенного проукраинской организацией. Инструмент disBalancer, по его собственному описанию, предназначен для «нацеливания на российские пропагандистские сайты». Легко понять, как кто-то, ищущий оригинальный инструмент, может в конечном итоге загрузить полезную нагрузку Phoenix, изображающую из себя disBalancer.

Старая собака, новые трюки

По словам исследователей Cisco, эта кампания по распространению Phoenix проводится не новыми подающими надежды хакерами, а организованной группой действующих лиц, которые существуют с конца 2021 года.

Версия Phoenix, используемая в этом случае, перехватывает информацию о криптовалюте и учетные данные из системы жертвы, а затем перекачивает очищенные данные на российский IP-адрес, используя порт 6666. Точно такое же сочетание IP-адреса и порта использовалось еще в ноябре 2021 года.

Текущая ситуация в Украине, России и Европе в целом предлагает множество возможностей для умных трюков социальной инженерии и распространения большего количества вредоносного ПО с использованием простых, но эффективных уловок и дезориентации. Недавние фишинговые кампании, запущенные различными злоумышленниками, были нацелены на европейские организации, занимающиеся потоком украинских беженцев, направляющихся на запад.