以针对俄罗斯的 DDoS 工具为幌子分发的恶意软件

Cisco Talos 的安全研究人员报告说，一种新的威胁正在变相传播。该恶意程序包正在通过 Telegram 进行广告宣传，并伪装成旨在打击俄罗斯目标的分布式拒绝服务工具包。目标显然是亲乌克兰的黑客和组织，他们可能试图对俄罗斯发起网络反击。

但是，该软件包不是 DDoS 工具，而是包含 Phoenix infostealer 恶意软件。

Phoenix 冒充 DDoS 工具

Phoenix 恶意软件已经存在了一段时间，最初是在 2019 年成为头条新闻，当时它最初只是一个不起眼的键盘记录器。从那时起，Phoenix 目前可以使用的恶意工具集已得到显着扩展。检测规避模块和反分析功能已被固定在最初的键盘记录器平台上，以将键盘记录器变成今天的样子。

该恶意软件使用一条消息进行分发，该消息将其宣传为攻击“俄罗斯网站”的工具，并声称该工具将自动从服务器获取其目标网站。用于传播恶意软件的消息称为存档“Disbalancer.zip”。

这样做是为了模仿由亲乌克兰组织推出的原始 disBalancer 工具。根据其自己的描述，disBalancer 工具旨在“针对俄罗斯宣传网站”。很容易看出，寻找原始工具的人最终可能会以 disBalancer 的身份下载 Phoenix 有效负载。

老狗，新招数

根据思科的研究人员的说法，这场传播凤凰城的活动不是由新的有希望的黑客发起的，而是由自 2021 年底以来一直存在的有组织的演员组织实施的。

在此实例中使用的 Phoenix 版本从受害者系统中获取加密货币信息和凭据，然后使用端口 6666 将抓取的数据虹吸到俄罗斯 IP 地址。2021 年 11 月使用了完全相同的 IP 和端口配对。

乌克兰、俄罗斯和整个欧洲的现状为巧妙的社会工程特技和使用简单而有效的技巧和误导传播更多恶意软件提供了很多机会。最近由不同的威胁行为者发起的网络钓鱼活动针对欧洲实体，这些实体处理向西涌入的乌克兰难民。