Kenkėjiška programa, platinama kaip DDoS įrankis, nukreiptas į Rusiją

Saugumo tyrinėtojai su Cisco Talos pranešė apie naują užmaskuotą grėsmę. Kenkėjiškas paketas reklamuojamas per „Telegram“ ir pristatomas kaip paskirstytas paslaugų atsisakymo įrankių rinkinys, skirtas smogti Rusijos taikiniams. Akivaizdu, kad taikiniai yra proukrainietiški įsilaužėliai ir organizacijos, galinčios mėginti pradėti kibernetines kontrpuolas prieš Rusiją.

Tačiau vietoje DDoS įrankio pakete yra kenkėjiška programa „Phoenix infostealer“.

„Phoenix“ yra DDoS įrankis

Kenkėjiška programa „Phoenix“ egzistuoja jau kurį laiką ir pirmą kartą pateko į antraštes 2019 m., kai pradėjo veikti kaip kuklesnis klavišų kaupėjas. Kenkėjiškų įrankių rinkinys, kuriuo šiuo metu disponuoja Phoenix, nuo to laiko buvo gerokai išplėstas. Aptikimo vengimo moduliai ir antianalizės galimybės buvo pritvirtintos prie pradinės klavišų registravimo platformos, kad klavišų registravimo priemonė būtų tokia, kokia ji yra šiandien.

Kenkėjiška programa platinama naudojant pranešimą, kuriame ji reklamuojama kaip priemonė atakuoti „rusiškas svetaines“ ir teigiama, kad įrankis automatiškai gaus tikslines svetaines iš serverio. Kenkėjiškos programos platinimui naudojamas pranešimas archyvą vadina „Disbalancer.zip“.

Tai daroma siekiant imituoti originalų disBalancer įrankį, kurį paleido proukrainietiška organizacija. „DisBalancer“ įrankis, remiantis jo paties aprašymu, yra skirtas „taikyti į Rusijos propagandos svetaines“. Nesunku pastebėti, kaip kas nors, ieškantis originalaus įrankio, gali atsisiųsti „Phoenix“ naudingąjį krovinį, prisistatęs kaip disbalansas.

Senas šuo, nauji triukai

„Cisco“ tyrėjų teigimu, šią „Phoenix“ platinimo kampaniją vykdo ne nauji viltingi įsilaužėliai, o organizuota aktorių grupė, gyvuojanti nuo 2021 m. pabaigos.

Šiuo atveju naudojama „Phoenix“ versija paima kriptovaliutos informaciją ir kredencialus iš nukentėjusios sistemos, o tada persiunčia nuskaitytus duomenis į Rusijos IP adresą, naudodama 6666 prievadą. Lygiai tokia pati IP ir prievado pora buvo naudojama 2021 m. lapkričio mėn.

Dabartinė padėtis Ukrainoje, Rusijoje ir apskritai Europoje suteikia daug galimybių protingiems socialinės inžinerijos triukams ir platinti daugiau kenkėjiškų programų naudojant paprastus, bet veiksmingus triukus ir klaidingą kryptį. Naujausios sukčiavimo kampanijos, kurias pradėjo įvairūs grėsmės veikėjai, buvo nukreiptos į Europos subjektus, kovojančius su Ukrainos pabėgėlių antplūdžiu, nukreiptu į vakarus.