Backdoor SPICA vinculado ao coletivo de hackers russos
O Grupo de Análise de Ameaças (TAG) do Google revelou que o grupo de hackers russo COLDRIVER está envolvido em atividades de phishing de credenciais visando ONGs proeminentes, ex-funcionários de inteligência e militares, bem como governos da OTAN.
A TAG tem monitorado e relatado ativamente os esforços de espionagem do COLDRIVER alinhados com os interesses do governo russo. Num esforço para aumentar a conscientização da comunidade sobre as atividades do COLDRIVER, Wesley Shields da TAG destacou suas capacidades ampliadas, que agora incluem a implantação de malware.
COLDRIVER conduz campanhas contra a Ucrânia, nações da OTAN, instituições acadêmicas e ONGs. O grupo muitas vezes adota o disfarce de especialistas ou indivíduos associados ao alvo para ganhar a confiança das suas vítimas.
A TAG observou o COLDRIVER enviando documentos PDF aparentemente inofensivos de contas falsas, apresentando-os como artigos de opinião ou artigos buscando feedback para publicação. Ao abrir os PDFs, o texto revela-se criptografado.
Se o alvo expressar dificuldade em ler o documento, a conta de representação responde com um link alegando ser um utilitário de “descriptografia”. No entanto, este utilitário é, na realidade, um backdoor conhecido como SPICA, que fornece aos invasores acesso à máquina da vítima.
O que exatamente é o backdoor SPICA?
O malware backdoor SPICA é uma ferramenta do cliente escrita em Rust, que utiliza comunicação websocket para comandar e controlar dispositivos afetados. Ele permite que os invasores executem vários comandos em dispositivos infectados, como executar comandos shell arbitrários, roubar cookies de navegadores como Chrome, Firefox, Opera e Edge, fazer upload e download de arquivos, acessar o sistema de arquivos e exfiltrar documentos.
O Google utiliza as descobertas do TAG para melhorar a segurança de seus produtos. Os sites, domínios e arquivos identificados são integrados a protocolos de navegação segura para evitar exploração adicional. A TAG também notifica os usuários direcionados do Gmail e do Workspace sobre possíveis ataques e os incentiva a utilizar a navegação segura aprimorada para proteção adicional.