Malware distribueret i skikkelse af DDoS-værktøj rettet mod Rusland
Sikkerhedsforskere med Cisco Talos rapporterede, at en ny trussel blev distribueret i forklædning. Den ondsindede pakke bliver annonceret gennem Telegram og fremstår som et distribueret lammelsesangreb værktøjssæt beregnet til at ramme russiske mål. Målene er åbenlyst pro-ukrainske hackere og organisationer, der kan forsøge at iværksætte cyber-modangreb på Rusland.
Men i stedet for et DDoS-værktøj indeholder pakken Phoenix infostealer malware.
Phoenix poserer som DDoS-værktøj
Phoenix-malwaren har eksisteret i nogen tid og skabte første overskrifter i 2019, da den startede som en ydmygere keylogger. Det ondsindede værktøj, Phoenix har til sin rådighed i øjeblikket, er blevet betydeligt udvidet siden da. Detektion unddragelse moduler og anti-analyse muligheder er blevet boltet på den oprindelige keylogger platform for at gøre keylogger til hvad den er i dag.
Malwaren distribueres ved hjælp af en besked, der reklamerer for den som et værktøj til at angribe "russiske websteder" og hævder, at værktøjet automatisk vil hente sine målwebsteder fra en server. Beskeden, der blev brugt til at sprede malwaren, kalder arkivet "Disbalancer.zip".
Dette er gjort for at efterligne det originale disBalancer-værktøj lanceret af en pro-ukrainsk organisation. DisBalancer-værktøjet er ifølge sin egen beskrivelse beregnet til at "målrette mod russiske propagandawebsteder". Det er let at se, hvordan nogen, der leder efter det originale værktøj, kan ende med at downloade Phoenix-nyttelasten, der udgiver sig for at være disBalancer.
Gammel hund, nye tricks
Ifølge forskerne hos Cisco er denne kampagne, der spreder Phoenix, ikke udført af nye håbefulde hackere, men bliver drevet af et organiseret outfit af skuespillere, der har eksisteret siden slutningen af 2021.
Den version af Phoenix, der bruges i dette tilfælde, fanger kryptovalutaoplysninger og -legitimationsoplysninger fra offersystemet og overfører derefter de skrabet data til en russisk IP-adresse ved hjælp af port 6666. Den nøjagtige samme parring af IP og port blev brugt tilbage i november 2021.
Den nuværende situation i Ukraine, Rusland og Europa som helhed byder på mange muligheder for smarte social engineering-stunts og distribution af mere malware ved hjælp af simple, men effektive tricks og vildledning. Nylige phishing-kampagner lanceret af forskellige trusselsaktører rettet mod europæiske enheder, der håndterer tilstrømningen af ukrainske flygtninge på vej mod vest.
