以針對俄羅斯的 DDoS 工具為幌子分發的惡意軟件

Cisco Talos 的安全研究人員報告說，一種新的威脅正在變相傳播。該惡意程序包正在通過 Telegram 進行廣告宣傳，並偽裝成旨在打擊俄羅斯目標的分佈式拒絕服務工具包。目標顯然是親烏克蘭的黑客和組織，他們可能試圖對俄羅斯發起網絡反擊。

但是，該軟件包不是 DDoS 工具，而是包含 Phoenix infostealer 惡意軟件。

Phoenix 冒充 DDoS 工具

Phoenix 惡意軟件已經存在了一段時間，最初是在 2019 年成為頭條新聞，當時它最初只是一個不起眼的鍵盤記錄器。從那時起，Phoenix 目前可以使用的惡意工具集已得到顯著擴展。檢測規避模塊和反分析功能已被固定在最初的鍵盤記錄器平台上，以將鍵盤記錄器變成今天的樣子。

該惡意軟件使用一條消息進行分發，該消息將其宣傳為攻擊“俄羅斯網站”的工具，並聲稱該工具將自動從服務器獲取其目標網站。用於傳播惡意軟件的消息稱為存檔“Disbalancer.zip”。

這樣做是為了模仿由親烏克蘭組織推出的原始 disBalancer 工具。根據其自己的描述，disBalancer 工具旨在“針對俄羅斯宣傳網站”。很容易看出，尋找原始工具的人最終可能會以 disBalancer 的身份下載 Phoenix 有效負載。

老狗，新招數

根據思科的研究人員的說法，這場傳播鳳凰城的活動不是由新的有希望的黑客發起的，而是由自 2021 年底以來一直存在的有組織的演員組織實施的。

在此實例中使用的 Phoenix 版本從受害者係統中獲取加密貨幣信息和憑據，然後使用端口 6666 將抓取的數據虹吸到俄羅斯 IP 地址。2021 年 11 月使用了完全相同的 IP 和端口配對。

烏克蘭、俄羅斯和整個歐洲的現狀為巧妙的社會工程特技和使用簡單而有效的技巧和誤導傳播更多惡意軟件提供了很多機會。最近由不同的威脅行為者發起的網絡釣魚活動針對歐洲實體，這些實體處理向西湧入的烏克蘭難民。