Malware ArguePatch usado em ataques cibernéticos na Ucrânia
Pesquisadores de segurança detectaram mais atividade do ator avançado de ameaças persistentes Sandworm. Sandworm agora está usando uma versão atualizada do carregador de malware ArguePatch para atacar mais alvos localizados na Ucrânia.
O ArguePatch foi usado em uma série de ataques contra entidades ucranianas quando começou a invasão russa do país vizinho. Juntamente com a primeira ação militar em solo ucraniano, os agentes de ameaças vinculados à Rússia realizaram uma série de ataques usando malware destrutivo de limpeza, visando instituições ucranianas e usando ferramentas chamadas CaddyWiper, HermeticWiper e IsaacWiper. Esses ataques usaram uma versão anterior do carregador de malware ArguePatch.
O nome ArguePatch foi atribuído pelo CERT da Ucrânia. A versão atualizada do carregador tem funcionalidade que permite que os operadores executem um estágio posterior do ataque em um momento específico. Essa adição faz com que a cadeia de ataque seja executada sem a necessidade de configurar uma tarefa agendada usando ferramentas internas do Windows e ajuda a evitar a detecção.
O ArguePatch atualizado está sendo distribuído abusando de um executável ESET legítimo que teve sua assinatura digital removida e partes do código dentro dele alteradas.