Especialistas da Mandiant relataram que agências governamentais ucranianas estão sofrendo ataques usando Trojans maliciosos do Windows 10 instaladores, enquanto as vítimas baixam arquivos ISO maliciosos de rastreadores de torrent em ucraniano e russo (incluindo Toloka e RuTracker).
Deixe-me lembrá-lo de que também escrevemos isso TruqueBot Grupo de hackers ataca sistematicamente a Ucrânia, e também isso Microsoft Acusa a Rússia de ataques cibernéticos contra aliados da Ucrânia.
Segundo os pesquisadores, esta campanha está em andamento desde julho 2022 e é um ataque de engenharia social à cadeia de abastecimento. Aparentemente, um conjunto de ameaças está por trás dos ataques, que os especialistas rastreiam como UNC4166.
Infecções assim realizadas foram encontradas nas redes de “diversos” organizações governamentais, que foram supostamente escolhidos a dedo pelos hackers. Ao mesmo tempo, os pesquisadores não especificam quais agências governamentais foram afetadas, e como os arquivos torrent piratas chegaram aos seus computadores.
Uma das distribuições trojanizadas
A empresa diz que se um instalador infectado for usado, malware entra no sistema, que coleta informações sobre o sistema comprometido e as transfere para seus operadores. O relatório destaca que os hackers estão usando o pacote de idioma ucraniano e que os ataques têm como alvo usuários ucranianos.
Mandiant também encontrou cargas adicionais que provavelmente foram implantadas após a infecção inicial. Estes incluíram o PASSAGEIRO ferramenta de proxy de código aberto, Golpe de Cobalto faróis, e a PEÇAS DE REPOSIÇÃO porta dos fundos, permitindo que hackers mantenham acesso a máquinas comprometidas, executar comandos, transferir arquivos, e roubar informações, incluindo credenciais e interceptação de teclas, bem como tirar capturas de tela.
Em alguns casos, os invasores até tentaram fazer o download Navegador Tor no dispositivo da vítima. Embora a razão exata para essas ações não seja clara, os pesquisadores suspeitam que o Tor poderia servir como um canal alternativo para roubo de dados.
A mesma mídia noticiou que Verme da areia Visa a Ucrânia com Industroyer2 Programas maliciosos.
