Κακόβουλο λογισμικό που διανέμεται με το πρόσχημα του εργαλείου DDoS που στοχεύει τη Ρωσία

Ερευνητές ασφαλείας της Cisco Talos ανέφεραν μια νέα απειλή που διανέμεται μεταμφιεσμένα. Το κακόβουλο πακέτο διαφημίζεται μέσω του Telegram και παριστάνεται ως διανεμημένη εργαλειοθήκη άρνησης υπηρεσίας που προορίζεται να χτυπήσει ρωσικούς στόχους. Οι στόχοι είναι προφανώς φιλο-Ουκρανοί χάκερ και οργανισμοί που ενδέχεται να επιχειρήσουν να εξαπολύσουν αντεπιθέσεις στον κυβερνοχώρο στη Ρωσία.

Ωστόσο, αντί για ένα εργαλείο DDoS, το πακέτο περιέχει το κακόβουλο λογισμικό Phoenix infostealer.

Το Phoenix ποζάρει ως εργαλείο DDoS

Το κακόβουλο λογισμικό Phoenix κυκλοφορεί εδώ και αρκετό καιρό, για πρώτη φορά έγινε πρωτοσέλιδο το 2019, όταν ξεκίνησε ως ένα πιο ταπεινό keylogger. Το κακόβουλο σύνολο εργαλείων που έχει στη διάθεσή του η Phoenix έχει επεκταθεί σημαντικά από τότε. Οι μονάδες αποφυγής εντοπισμού και οι δυνατότητες αντι-ανάλυσης έχουν βιδωθεί στην αρχική πλατφόρμα keylogger για να μετατρέψουν το keylogger σε αυτό που είναι σήμερα.

Το κακόβουλο λογισμικό διανέμεται χρησιμοποιώντας ένα μήνυμα που το διαφημίζει ως εργαλείο επίθεσης σε "ρωσικούς ιστότοπους" και ισχυρίζεται ότι το εργαλείο θα λάβει αυτόματα τους ιστότοπους-στόχους του από έναν διακομιστή. Το μήνυμα που χρησιμοποιείται για τη διάδοση του κακόβουλου λογισμικού ονομάζει το αρχείο "Disbalancer.zip".

Αυτό γίνεται για να μιμηθεί το αρχικό εργαλείο disBalancer που κυκλοφόρησε από μια φιλοουκρανική οργάνωση. Το εργαλείο disBalancer προορίζεται, σύμφωνα με τη δική του περιγραφή, να «στοχεύει ιστοσελίδες ρωσικής προπαγάνδας». Είναι εύκολο να δείτε πώς κάποιος που αναζητά το αρχικό εργαλείο μπορεί να καταλήξει να κατεβάσει το ωφέλιμο φορτίο του Phoenix παριστάνοντας ως disBalancer.

Παλιό σκυλί, νέα κόλπα

Σύμφωνα με τους ερευνητές της Cisco, αυτή η εκστρατεία διάδοσης του Phoenix δεν διεξάγεται από νέους ελπιδοφόρους χάκερ, αλλά διευθύνεται από μια οργανωμένη ομάδα ηθοποιών που κυκλοφορούν από τα τέλη του 2021.

Η έκδοση του Phoenix που χρησιμοποιείται σε αυτήν την περίπτωση αποσπά πληροφορίες και διαπιστευτήρια κρυπτονομισμάτων από το σύστημα του θύματος και, στη συνέχεια, μεταφέρει τα δεδομένα απόξεσης σε μια ρωσική διεύθυνση IP χρησιμοποιώντας τη θύρα 6666. Η ίδια ακριβώς σύζευξη IP και θύρας χρησιμοποιήθηκε τον Νοέμβριο του 2021.

Η τρέχουσα κατάσταση στην Ουκρανία, τη Ρωσία και την Ευρώπη γενικότερα προσφέρει πολλές ευκαιρίες για έξυπνα κόλπα κοινωνικής μηχανικής και τη διανομή περισσότερων κακόβουλων προγραμμάτων χρησιμοποιώντας απλά αλλά αποτελεσματικά κόλπα και εσφαλμένη κατεύθυνση. Πρόσφατες εκστρατείες phishing που ξεκίνησαν από διαφορετικούς παράγοντες απειλών στόχευαν ευρωπαϊκές οντότητες που αντιμετωπίζουν την εισροή Ουκρανών προσφύγων με κατεύθυνση δυτικά.