Μια νέα malware εκστρατεία εκμεταλλεύεται την προθυμία των ανθρώπων να υποστηρίξουν τον κυβερνοπόλεμο της Ουκρανίας εναντίον της Ρωσίας και τους μολύνουν με malware που κλέβουν κωδικούς πρόσβασης. Τον περασμένο μήνα, η ουκρανική κυβέρνηση ανακοίνωσε τη δημιουργία ενός IT Army που αποτελείται από εθελοντές από όλο τον κόσμο, με σκοπό τη διεξαγωγή κυβερνοεπιθέσεων και DdoS επιθέσεων εναντίον ρωσικών οντοτήτων.
Άτομα από όλο τον κόσμο, που έχουν σχετικές γνώσεις, έσπευσαν να βοηθήσουν την Ουκρανία, παρόλο που αυτή η δραστηριότητα θεωρείται παράνομη.
Δείτε επίσης: Δωρεάν εργαλείο αποκρυπτογράφησης για το HermeticRansom ransomware που στοχεύει την Ουκρανία
Μίμηση ενός πραγματικού εργαλείου DdoS
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ωστόσο, φορείς απειλών άρχισαν να εκμεταλλεύονται την ιδέα του IT Army της Ουκρανίας, προωθώντας ένα ψεύτικο εργαλείο DDoS στο Telegram που εγκαθιστά ένα trojan που κλέβει πληροφορίες και κωδικούς πρόσβασης.
Σε μια νέα έκθεση της Cisco Talos, οι ερευνητές προειδοποιούν ότι οι παράγοντες απειλών μιμούνται ένα εργαλείο DDoS που ονομάζεται «Liberator», ένα website bomber, για χρήση κατά της ρωσικής προπαγάνδας.
Ενώ οι εκδόσεις που ελήφθησαν από τον πραγματικό ιστότοπο είναι “καθαρές”, αυτές που κυκλοφορούν στο Telegram κρύβουν malware payloads. Ωστόσο, δεν υπάρχει τρόπος να γίνει κατανοητή η διαφορά πριν από την εκτέλεσή τους, καθώς καμία από τις εκδόσεις δεν είναι digitally signed.
Δείτε επίσης: Έκρηξη στις επιθέσεις mobile malware – τι πρέπει να προσέξετε
Οι αναρτήσεις του Telegram υποστηρίζουν ότι το εργαλείο ανακτά μια λίστα με ρωσικούς στόχους για επίθεση από έναν διακομιστή, επομένως ο χρήστης δεν χρειάζεται να κάνει πολλά πέρα από το να το εκτελέσει στον υπολογιστή του.
Αυτή η περιγραφή δείχνει ότι το εργαλείο είναι πολύ εύκολο στη χρήση και έτσι πολλοί υποστηρικτές της Ουκρανίας, ειδικά εκείνοι που δεν έχουν τόσες τεχνικές γνώσεις και δεν ξέρουν πώς να διεξάγουν τις δικές τους επιθέσεις, μπορεί να το θεωρήσουν καλή επιλογή.
Malware κλοπής πληροφοριών
Το malware που έχει εγκατασταθεί στα συστήματα των θυμάτων (μελών του IT Army της Ουκρανίας) εκτελεί anti-debug checks πριν ξεκινήσει την εκτέλεσή του και, στη συνέχεια, φορτώνει το πρόγραμμα κλοπής πληροφοριών Phoenix.
Δείτε επίσης: Η HP διορθώνει 16 UEFI firmware bugs που επιτρέπουν κρυφές μολύνσεις από malware
Το Phoenix εντοπίστηκε για πρώτη φορά το καλοκαίρι του 2019. Πωλούνταν σε underground forums ως MaaS (malware as a service) για 15 $/μήνα ή 80 $ για μια ολόκληρη συνδρομή.
To συγκεκριμένο malware μπορεί να συλλέξει δεδομένα από web browsers, VPN εργαλεία, Discord, filesystem locations και cryptocurrency wallets και να τα στείλει σε μια απομακρυσμένη διεύθυνση (σε αυτήν την περίπτωση, σε μια ρωσική IP).
Πηγή: Bleeping Computer
