Malware distribuido bajo la apariencia de una herramienta DDoS dirigida a Rusia

Los investigadores de seguridad de Cisco Talos informaron que se estaba distribuyendo una nueva amenaza disfrazada. El paquete malicioso se anuncia a través de Telegram y se hace pasar por un conjunto de herramientas de denegación de servicio distribuido destinado a alcanzar objetivos rusos. Los objetivos son obviamente piratas informáticos pro-ucranianos y organizaciones que podrían intentar lanzar contraataques cibernéticos contra Rusia.

Sin embargo, en lugar de una herramienta DDoS, el paquete contiene el malware Phoenix infostealer.

Phoenix se hace pasar por herramienta DDoS

El malware Phoenix ha existido durante algún tiempo, y apareció por primera vez en los titulares en 2019, cuando comenzó como un registrador de teclas más humilde. El conjunto de herramientas maliciosas que Phoenix tiene a su disposición actualmente se ha ampliado significativamente desde entonces. Los módulos de evasión de detección y las capacidades de antianálisis se han incorporado a la plataforma inicial de registro de teclas para convertirlo en lo que es hoy.

El malware se distribuye mediante un mensaje que lo anuncia como una herramienta para atacar "sitios rusos" y afirma que la herramienta obtendrá automáticamente sus sitios web de destino desde un servidor. El mensaje utilizado para propagar el malware llama al archivo "Disbalancer.zip".

Esto se hace para imitar la herramienta disBalancer original lanzada por una organización pro-ucraniana. La herramienta disBalancer está destinada, según su propia descripción, a "apuntar a sitios web de propaganda rusa". Es fácil ver cómo alguien que busca la herramienta original puede terminar descargando la carga útil de Phoenix haciéndose pasar por disBalancer.

Perro viejo, trucos nuevos

Según los investigadores de Cisco, esta campaña que difunde Phoenix no la llevan a cabo nuevos piratas informáticos esperanzados, sino que la dirige un equipo organizado de actores que existen desde finales de 2021.

La versión de Phoenix utilizada en este caso obtiene información de criptomonedas y credenciales del sistema de la víctima, luego desvía los datos extraídos a una dirección IP rusa usando el puerto 6666. Se usó exactamente el mismo emparejamiento de IP y puerto en noviembre de 2021.

La situación actual en Ucrania, Rusia y Europa en general ofrece muchas oportunidades para ingeniosas acrobacias de ingeniería social y la distribución de más malware utilizando trucos y desvíos simples pero efectivos. Las recientes campañas de phishing lanzadas por diferentes actores de amenazas se dirigieron a entidades europeas que se ocupan de la afluencia de refugiados ucranianos que se dirigen al oeste.