Skadelig programvare distribuert i form av DDoS-verktøy rettet mot Russland
Sikkerhetsforskere med Cisco Talos rapporterte at en ny trussel ble distribuert i forkledning. Den ondsinnede pakken blir annonsert gjennom Telegram og utgir seg som et distribuert tjenestenektverktøy ment for å treffe russiske mål. Målene er åpenbart pro-ukrainske hackere og organisasjoner som kan forsøke å starte cyber-motangrep på Russland.
Men i stedet for et DDoS-verktøy, inneholder pakken Phoenix infostealer malware.
Phoenix poserer som DDoS-verktøy
Phoenix malware har eksistert en stund, og skapte overskrifter først i 2019, da den startet som en ydmykere keylogger. Det ondsinnede verktøysettet Phoenix har til disposisjon for øyeblikket er blitt betydelig utvidet siden den gang. Deteksjonsunnvikelsesmoduler og anti-analysefunksjoner har blitt boltet på den første keylogger-plattformen for å gjøre keyloggeren til hva den er i dag.
Skadevaren distribueres ved hjelp av en melding som annonserer den som et verktøy for å angripe "russiske nettsteder" og hevder at verktøyet automatisk vil hente sine målnettsteder fra en server. Meldingen som ble brukt til å spre skadelig programvare kaller arkivet "Disbalancer.zip".
Dette er gjort for å etterligne det originale disBalancer-verktøyet lansert av en pro-ukrainsk organisasjon. DisBalancer-verktøyet er ment, ifølge sin egen beskrivelse, å «målrette mot russiske propagandanettsteder». Det er lett å se hvordan noen som leter etter det originale verktøyet kan ende opp med å laste ned Phoenix-nyttelasten som utgir seg for å være disBalancer.
Gammel hund, nye triks
Ifølge forskerne ved Cisco, er denne kampanjen som sprer Phoenix ikke utført av nye håpefulle hackere, men drives av et organisert antrekk av skuespillere som har eksistert siden slutten av 2021.
Versjonen av Phoenix som brukes i dette tilfellet, henter kryptovalutainformasjon og legitimasjon fra offersystemet, og overfører deretter de skrapte dataene til en russisk IP-adresse ved å bruke port 6666. Den nøyaktig samme sammenkoblingen av IP og port ble brukt tilbake i november 2021.
Den nåværende situasjonen i Ukraina, Russland og Europa for øvrig tilbyr mange muligheter for smarte sosiale ingeniørstunts og distribusjon av mer skadelig programvare ved å bruke enkle, men effektive triks og feilretninger. Nylige phishing-kampanjer lansert av forskjellige trusselaktører rettet mot europeiske enheter som håndterer tilstrømningen av ukrainske flyktninger på vei vestover.
