Skadlig programvara distribueras i skepnad av DDoS-verktyg som riktar sig till Ryssland

Säkerhetsforskare med Cisco Talos rapporterade att ett nytt hot distribuerades i förklädnad. Det skadliga paketet annonseras genom Telegram och utger sig för att vara en distribuerad denial of service-verktygssats avsedd att träffa ryska mål. Målen är uppenbarligen pro-ukrainska hackare och organisationer som kan försöka starta cybermotattacker mot Ryssland.

Men istället för ett DDoS-verktyg innehåller paketet Phoenix infostealer malware.

Phoenix poserar som DDoS-verktyg

Phoenix skadlig kod har funnits ett tag och skapade rubriker för första gången 2019, när den började som en ödmjukare keylogger. Den skadliga verktygsuppsättning Phoenix har till sitt förfogande för närvarande har utökats avsevärt sedan dess. Detekteringsundandragningsmoduler och antianalysfunktioner har skruvats fast på den första keyloggerplattformen för att göra keyloggern till vad den är idag.

Skadlig programvara distribueras med hjälp av ett meddelande som annonserar det som ett verktyg för att attackera "ryska webbplatser" och hävdar att verktyget automatiskt kommer att hämta sina målwebbplatser från en server. Meddelandet som används för att sprida skadlig programvara kallar arkivet "Disbalancer.zip".

Detta görs för att efterlikna det ursprungliga disBalancer-verktyget som lanserats av en pro-ukrainsk organisation. Verktyget disBalancer är avsett, enligt sin egen beskrivning, att "inrikta sig på ryska propagandawebbplatser". Det är lätt att se hur någon som letar efter originalverktyget kan sluta med att ladda ner Phoenix-nyttolasten som utger sig för att vara disBalancer.

Gammal hund, nya knep

Enligt forskarna vid Cisco genomförs denna kampanj som sprider Phoenix inte av nya hoppfulla hackare utan drivs av en organiserad outfit av skådespelare som har funnits sedan slutet av 2021.

Den version av Phoenix som används i det här fallet fångar kryptovalutainformation och autentiseringsuppgifter från offersystemet, och hävertar sedan den skrapade informationen till en rysk IP-adress med port 6666. Exakt samma sammankoppling av IP och port användes redan i november 2021.

Den nuvarande situationen i Ukraina, Ryssland och Europa i stort erbjuder många möjligheter till smarta sociala ingenjörsstunt och spridning av mer skadlig programvara med enkla men effektiva knep och missvisning. Nyligen lanserade nätfiskekampanjer av olika hotaktörer riktade sig mot europeiska enheter som hanterar tillströmningen av ukrainska flyktingar på väg västerut.