Malware verspreid onder het mom van DDoS-tool gericht op Rusland

Beveiligingsonderzoekers van Cisco Talos meldden dat een nieuwe bedreiging vermomd werd verspreid. Het kwaadaardige pakket wordt geadverteerd via Telegram en doet zich voor als een gedistribueerde denial of service-toolkit die bedoeld is om Russische doelen te raken. De doelen zijn duidelijk pro-Oekraïense hackers en organisaties die zouden kunnen proberen om cyberaanvallen op Rusland uit te voeren.

In plaats van een DDoS-tool bevat het pakket echter de Phoenix infostealer-malware.

Phoenix doet zich voor als DDoS-tool

De Phoenix-malware bestaat al een tijdje en haalde voor het eerst de krantenkoppen in 2019, toen het begon als een bescheiden keylogger. De kwaadaardige toolset die Phoenix momenteel tot zijn beschikking heeft, is sindsdien aanzienlijk uitgebreid. Detectie-ontduikingsmodules en anti-analysemogelijkheden zijn op het oorspronkelijke keylogger-platform geschroefd om de keylogger te maken tot wat het nu is.

De malware wordt verspreid met behulp van een bericht dat het adverteert als een tool om "Russische sites" aan te vallen en beweert dat de tool zijn doelwebsites automatisch van een server verkrijgt. Het bericht dat wordt gebruikt om de malware te verspreiden, noemt het archief "Disbalancer.zip".

Dit wordt gedaan om de originele disBalancer-tool na te bootsen die is gelanceerd door een pro-Oekraïense organisatie. De tool disBalancer is volgens zijn eigen beschrijving bedoeld om "Russische propagandawebsites te targeten". Het is gemakkelijk in te zien hoe iemand die op zoek is naar de originele tool uiteindelijk de Phoenix-payload kan downloaden die zich voordoet als disBalancer.

Oude hond, nieuwe trucs

Volgens de onderzoekers van Cisco wordt deze campagne om Phoenix te verspreiden niet uitgevoerd door nieuwe hoopvolle hackers, maar door een georganiseerde groep acteurs die al sinds eind 2021 in de buurt is.

De versie van Phoenix die in dit geval wordt gebruikt, haalt cryptocurrency-informatie en inloggegevens van het slachtoffersysteem op en hevelt vervolgens de geschraapte gegevens over naar een Russisch IP-adres via poort 6666. Exact dezelfde koppeling van IP en poort werd in november 2021 gebruikt.

De huidige situatie in Oekraïne, Rusland en Europa in het algemeen biedt veel kansen voor slimme social engineering-stunts en de verspreiding van meer malware met behulp van eenvoudige maar effectieve trucs en misleiding. Recente phishing-campagnes die door verschillende dreigingsactoren zijn gelanceerd, waren gericht op Europese entiteiten die zich bezighouden met de toestroom van Oekraïense vluchtelingen naar het westen.