Operadores de ameaças cibernéticas em todo o mundo estão usando documentos com temas sobre a Rússia e a Ucrânia para disseminar malware e atrair vítimas para espionagem cibernética, de acordo com levantamento da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software.
Segundo o estudo, conforme os alvos e a região, os cibercriminosos estão usando iscas que vão desde textos com aparência oficial até notícias e anúncios de emprego. Os pesquisadores de segurança da CPR acreditam que a motivação dessas campanhas é a ciberespionagem com objetivo é roubar informações confidenciais de governos, bancos e outras instituições financeiras e de empresas de energia. Ainda de acordo com o levantamento, os hackers e suas vítimas não estão concentrados em uma única região, mas dispersos por todo o mundo, incluindo América Latina, Oriente Médio e Ásia.
A CPR analisou o perfil de três grupos de ameaças persistentes avançadas (APT), denominados El Machete, Lyceum e SideWinder, descobertos recentemente realizando campanhas de spear-phishing visando vítimas em cinco países diferentes. Os malwares têm um multiplicidade de características, podendo operar desde como keylogging (rouba tudo que o usuário digita), na coleta de credenciais (credenciais armazenadas nos navegadores Chrome e Firefox), coleta de arquivos (reúne informações sobre os arquivos de cada unidade e coleta seus nomes e tamanhos, permitindo o roubo de arquivos específicos), na captura de tela, coleta de dados da área de transferência até na execução de comandos.
O El Machete é disseminado por e-mail em campanhas de spear-phishing através de documento do Word anexado com um artigo sobre a Ucrânia. O documento inclui uma macro maliciosa que baixa uma sequência de arquivos, instalando o malware no PC.
A CPR descobriu o grupo El Machete enviando e-mails de spear-phishing para organizações financeiras na Nicarágua, com um documento do Word anexado intitulado “Planos sombrios do regime neonazista na Ucrânia”. O referido arquivo continha um artigo escrito e publicado por Alexander Khokholikov, embaixador russo na Nicarágua, que discutia o conflito russo-ucraniano na perspectiva do Kremlin.
Já o Lyceum é disseminado através de e-mail com conteúdo sobre crimes de guerra na Ucrânia e um link para um documento malicioso hospedado em um site. O documento executa um código de macro quando o documento é fechado. Ou seja, o arquivo exe (executável) é salvo no computador e quando o computador for reiniciado, o malware será executado.
Em meados de março, uma empresa de energia israelense recebeu um e-mail de inews-reporter@protonmail[.]com com o assunto “Crimes de guerra russos na Ucrânia”. A mensagem continha algumas imagens retiradas de meios de comunicação e incluía um link para um artigo hospedado no domínio news-spot[.]live, o qual levava o usuário para um documento com o artigo “Pesquisadores reúnem evidências de possíveis crimes de guerra russos na Ucrânia”, publicado pelo The Guardian. O mesmo domínio abrigava outros documentos maliciosos relacionados à Rússia e à guerra russo-ucraniana, como uma cópia de um artigo de 2020 do The Atlantic Council sobre armas nucleares russas e um anúncio de emprego para um agente de “Extração/Agente de Proteção” na Ucrânia.
Veja isso
Interrupção de satélite na Europa e Ucrânia foi causada por malware
Um mês após a invasão russa, Ucrânia ainda está online
Por fim, há o SideWinder, disseminado por meio de um documento malicioso. Quando é aberto pela vítima, o documento recupera um template remoto a partir de um servidor controlado pelo atacante. O template externo baixado é um arquivo RTF que explora a vulnerabilidade CVE-2017-11882.
O documento malicioso do SideWinder, que também explora o tema sobre a guerra entre Rússia e Ucrânia, foi carregado no VirusTotal em meados de março. A julgar pelo seu conteúdo, os alvos pretendidos são entidades paquistanesas. Esse documento, que é a isca, contém um texto do Instituto Nacional de Assuntos Marítimos da Universidade Bahria, em Islamabad, e intitula-se “Conversa focada no impacto do conflito russo-ucraniano no Paquistão”. Este arquivo malicioso usa injeção de template remoto. Quando o arquivo é aberto, o documento recupera um template remoto de um servidor controlado pelo cibercriminoso.
“No momento, verificamos uma variedade de campanhas APT que utilizam o tema da atual guerra na distribuição de malware. As campanhas são altamente direcionadas e sofisticadas, com foco em vítimas nos setores governamental, financeiro e de energia. Em nossa análise mais recente, traçamos o perfil e mostramos exemplos de três grupos diferentes de APT, todos originários de diversas partes do mundo que têm orquestrado essas campanhas de spear-phishing”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.
A CPR compartilhou recentemente uma atualização das tendências de cibercrimes que se têm assistido enquanto ocorre a guerra. Um mês após do início do conflito (em 24 de fevereiro de 2022), tanto a Rússia como a Ucrânia viram o número de ciberataques aumentar, 10% e 17% respectivamente.
A CPR constatou ainda que, no âmbito global, registou-se um aumento de 16% no número de ciberataques. Os pesquisadores da Check Point Software têm monitorado de perto o fluxo de ciberataques por região e, especificamente, nos países que compõem a Otan.