Μια νέα εκστρατεία κακόβουλου λογισμικού εκμεταλλεύεται την προθυμία των ανθρώπων να υποστηρίξουν τον κυβερνοπόλεμο της Ουκρανίας εναντίον της Ρωσίας για να τους μολύνουν με Trojans που κλέβουν κωδικούς πρόσβασης.

Τον περασμένο μήνα, η ουκρανική κυβέρνηση ανακοίνωσε έναν νέο στρατό πληροφορικής που αποτελείται από εθελοντές σε όλο τον κόσμο που διεξάγουν κυβερνοεπιθέσεις και επιθέσεις DDoS εναντίον ρωσικών οντοτήτων.

Αυτή η πρωτοβουλία οδήγησε σε μια έκρηξη υποστήριξης από πολλούς ανθρώπους σε όλο τον κόσμο που βοήθησαν στη στόχευση ρωσικών οργανισμών και τοποθεσιών, ακόμα κι αν αυτή η δραστηριότητα θεωρείται παράνομη.

Όπως συμβαίνει συνήθως με τους διανομείς κακόβουλου λογισμικού, οι φορείς απειλών εκμεταλλεύονται τον ARMY  IT προωθώντας ένα ψεύτικο εργαλείο DDoS στο Telegram που εγκαθιστά έναν κωδικό πρόσβασης και trojan που κλέβει πληροφορίες.

Σε μια νέα έκθεση του Cisco Talos, οι ερευνητές προειδοποιούν ότι οι φορείς απειλών μιμούνται ένα εργαλείο DDoS που ονομάζεται «Liberator», το οποίο είναι ένας βομβαρδιστής ιστοτόπων για χρήση κατά των ρωσικών μέσων προπαγάνδας.

Ενώ οι εκδόσεις που λήφθηκαν από τον πραγματικό ιστότοπο είναι «καθαρές» και πιθανόν παράνομες στη χρήση, αυτές που κυκλοφορούν στο Telegram κρύβουν φορτία κακόβουλου λογισμικού και δεν υπάρχει τρόπος να γίνει κατανοητή η διαφορά πριν από την εκτέλεσή τους, καθώς καμία δεν είναι ψηφιακά υπογεγραμμένη.

Οι αναρτήσεις του Telegram υποστηρίζουν ότι το εργαλείο ανακτά μια λίστα με ρωσικούς στόχους για επίθεση από έναν διακομιστή, επομένως ο χρήστης δεν χρειάζεται να κάνει πολλά άλλα από το να το εκτελέσει στον υπολογιστή του. 

Αυτή η ευκολία χρήσης είναι πιθανό να προσελκύσει τους υποστηρικτές της Ουκρανίας που δεν είναι πολύ τεχνικοί και δεν ξέρουν πώς να διεξάγουν τις δικές τους επιθέσεις για να «βομβαρδίσουν» ρωσικές τοποθεσίες.

Ο infostealer

Το κακόβουλο λογισμικό που έχει πέσει στα συστήματα των θυμάτων εκτελεί ελέγχους κατά του εντοπισμού σφαλμάτων πριν από την εκτέλεσή του και στη συνέχεια ακολουθεί ένα βήμα ένεσης διαδικασίας για να φορτώσει το πρόγραμμα κλοπής πληροφοριών Phoenix στη μνήμη.

Το Phoenix εντοπίστηκε για πρώτη φορά το καλοκαίρι του 2019, πωλήθηκε στο υπόγειο για το έγκλημα στον κυβερνοχώρο ως MaaS (κακόβουλο λογισμικό ως υπηρεσία) για 15 $/μήνα ή 80 $ για μια ολόκληρη συνδρομή.

Ο συγκεκριμένος κλέφτης πληροφοριών μπορεί να συλλέξει δεδομένα από προγράμματα περιήγησης ιστού, εργαλεία VPN, Discord, τοποθεσίες συστημάτων αρχείων και πορτοφόλια κρυπτονομισμάτων και να τα στείλει σε μια απομακρυσμένη διεύθυνση, σε αυτήν την περίπτωση, σε μια ρωσική IP.

Οι ερευνητές του Talos διαπίστωσαν ότι η συγκεκριμένη IP διανέμει το Phoenix από τον Νοέμβριο του 2021. Ως εκ τούτου, η πρόσφατη αλλαγή θέματος δείχνει ότι αυτή η εκστρατεία είναι απλώς μια καιροσκοπική προσπάθεια εκμετάλλευσης του πολέμου στην Ουκρανία για οικονομικό κέρδος.