Graphiron Malware usado contra a Ucrânia
Um agente de ameaças vinculado à Rússia foi observado implantando um novo software malicioso em ataques cibernéticos direcionados à Ucrânia. Apelidado de Graphiron pela Symantec, o malware é obra de um grupo de espionagem conhecido como Nodaria, que é rastreado pelo CERT-UA como UAC-0056. De acordo com a equipe de caçadores de ameaças da Symantec, esse malware é escrito em Go e foi projetado para coletar uma ampla variedade de informações do computador infectado, como informações do sistema, credenciais, capturas de tela e arquivos.
A Nodaria foi notada pela primeira vez pelo CERT-UA em janeiro de 2022 por usar o malware SaintBot e OutSteel em ataques de spear phishing contra entidades governamentais. O grupo de hackers também foi referido como DEV-0586, TA471 e UNC2589 e foi vinculado a ataques destrutivos de limpeza de dados WhisperGate (também conhecido como PAYWIPE) contra entidades ucranianas na mesma época. Ele está ativo desde abril de 2021 e implantou backdoors personalizados, como GraphSteel e GrimPlant, em várias campanhas após a invasão militar da Rússia na Ucrânia. O Cobalt Strike Beacon também foi usado para pós-exploração em algumas invasões.
Graphiron é o complemento mais recente do kit de ferramentas da Nodaria e é uma versão aprimorada do GraphSteel. Está escrito na versão Go 1.18, lançada em março de 2022, sugerindo que é um desenvolvimento mais recente. As primeiras evidências de seu uso datam de outubro de 2022 e foram usadas em ataques até pelo menos meados de janeiro de 2023.
A cadeia de infecção envolve dois estágios, sendo o primeiro estágio um downloader responsável por recuperar uma carga criptografada que contém o malware Graphiron de um servidor remoto.
O Graphiron é mais um exemplo do foco do agente da ameaça na Ucrânia e em suas entidades governamentais, tornando importante que as organizações da região estejam cientes desse novo software malicioso e tomem medidas para se proteger contra ele.
O que é malware de roubo de informações?
O malware de roubo de informações é um tipo perigoso de software malicioso que pode ser usado para roubar informações confidenciais de sistemas de computador sem o conhecimento do usuário. Ele pode ser usado para obter acesso a senhas, dados financeiros e outras informações confidenciais. O malware de roubo de informações também pode ser usado para espionar os usuários, capturando capturas de tela ou gravando teclas digitadas. Esse tipo de malware geralmente se espalha por e-mails de phishing, sites maliciosos ou arquivos infectados.
É importante que organizações e indivíduos tomem medidas para se proteger contra malware de roubo de informações usando senhas fortes, mantendo seus sistemas atualizados com os patches de segurança mais recentes e evitando links ou downloads suspeitos. Além disso, é importante monitorar a atividade da rede em busca de qualquer atividade suspeita que possa indicar uma infecção. Ao tomar essas precauções, organizações e indivíduos podem ajudar a se proteger desse tipo de software mal-intencionado.
