Malware distribuito sotto le spoglie di uno strumento DDoS rivolto alla Russia

I ricercatori di sicurezza di Cisco Talos hanno segnalato che una nuova minaccia è stata distribuita sotto mentite spoglie. Il pacchetto dannoso viene pubblicizzato tramite Telegram e si atteggia a un toolkit di negazione del servizio distribuito destinato a colpire obiettivi russi. Gli obiettivi sono ovviamente hacker e organizzazioni filoucraini che potrebbero tentare di lanciare contrattacchi informatici alla Russia.

Tuttavia, invece di uno strumento DDoS, il pacchetto contiene il malware infostealer Phoenix.

Phoenix si pone come strumento DDoS

Il malware Phoenix è in circolazione da un po' di tempo, facendo notizia per la prima volta nel 2019, quando è iniziato come keylogger più umile. Il set di strumenti dannosi che Phoenix ha attualmente a sua disposizione è stato notevolmente ampliato da allora. I moduli di evasione del rilevamento e le capacità anti-analisi sono stati imbullonati alla piattaforma di keylogger iniziale per trasformare il keylogger in quello che è oggi.

Il malware viene distribuito utilizzando un messaggio che lo pubblicizza come uno strumento per attaccare i "siti russi" e afferma che lo strumento otterrà automaticamente i siti Web di destinazione da un server. Il messaggio utilizzato per diffondere il malware chiama l'archivio "Disbalancer.zip".

Questo viene fatto per imitare lo strumento originale disBalancer lanciato da un'organizzazione filo-ucraina. Lo strumento disBalancer è destinato, secondo la sua stessa descrizione, a "prendere di mira i siti web di propaganda russa". È facile vedere come qualcuno che cerca lo strumento originale possa finire per scaricare il payload Phoenix fingendosi disbilanciatore.

Vecchio cane, nuovi trucchi

Secondo i ricercatori di Cisco, questa campagna di diffusione di Phoenix non è condotta da nuovi hacker speranzosi, ma è gestita da un gruppo organizzato di attori che sono in circolazione dalla fine del 2021.

La versione di Phoenix utilizzata in questo caso cattura le informazioni sulla criptovaluta e le credenziali dal sistema della vittima, quindi trasferisce i dati raschiati a un indirizzo IP russo utilizzando la porta 6666. Lo stesso identico abbinamento di IP e porta è stato utilizzato nel novembre 2021.

L'attuale situazione in Ucraina, Russia e in Europa in generale offre molte opportunità per acrobazie di ingegneria sociale intelligenti e la distribuzione di più malware utilizzando trucchi e indicazioni errate semplici ma efficaci. Le recenti campagne di phishing lanciate da diversi attori delle minacce hanno preso di mira le entità europee che si occupano dell'afflusso di rifugiati ucraini diretti a ovest.