Cibercriminosos utilizam documentos sobre guerra Rússia-Ucrânia para distribuir malware

A Check Point Research (CPR) lançou um alerta sobre grupos de cibercriminosos a nível global que estão a utilizar documentos sobre o conflito Rússia/Ucrânia para distribuir malware e incitar as vítimas a cair em esquemas de ciberespionagem. Os ficheiros partilhados variam dependendo da região e setor visados, indo desde documentos que parecem provir de fontes oficiais a artigos noticiosos e ofertas de trabalho. Mais, a CPR acredita que a principal motivação dos ataques seja o roubo de informação sensível de instituições governamentais, bancos e empresas do setor energético.

Num relatório recente, a CPR perfila três grupos APT, El Machete, Lyceum e SideWinder, recentemente apanhados a disseminar campanhas direcionadas de phishing para vítimas de cinco países. O El Machete tem origem num país de língua espanhola, e os seus ataques são principalmente dirigidos ao setor financeiro e governamental em países como a Nicarágua e a Venezuela. Já o Lyceum tem origem na República Islâmica do Irão e visa o setor da energia em Israel e na Arábia Saudita. Finalmente, o SideWinder provém, possivelmente, da Índia, dirigindo-se ao Paquistão, e não conhecimento dos setores a que se dirigem. 

“Neste momento, estamos a ver uma variedade de campanhas APT que aproveitam a guerra para distribuir malware. As campanhas são altamente direcionadas e sofisticadas, focando-se em vítimas de instituições governamentais, entidades financeiras e setores energéticos. No nosso relatório mais recente, perfilamos e trazemos exemplos de três grupos APT diferentes, oriundos de várias partes do mundo, que apanhámos a orquestrar campanhas de phishing direcionado”, afirma Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software. 

Analisando o malware associado a estes grupos, especialmente para atividades de ciberespionagem, a CPR afirma que entre as capacidades do malware está o keylogging, ou seja, a capacidade acesso a tudo o que é digitado no teclado; o roubo de credenciais armazenadas nos browsers do Chrome e Firefox; a recolha de informação sobre os ficheiros em cada disco, acedendo a nomes e tamanhos de ficheiros, permitindo o roubo de ficheiros específicos; a capacidade de efetuar capturas de ecrã; recolher dados da área de transferência; e executar comandos. 

No que concerne a metodologia de ataque, o grupo El Machete lança campanhas de phishing direcionadas com um texto sobre a Ucrânia, com um anexo de um documento Word com um artigo sobre a Ucrânia. O documento inclui um macro malicioso que descarrega uma sequência de ficheiros, descarregando o malware no PC.

Já o Lyceum, envia um email com conteúdo sobre os crimes de guerra na Ucrânia e um link para um documento malicioso hospedado num website, que executa um macro código quando é fechado. O ficheiro exe é, posteriormente, guardado no computador e na próxima vez que o computador é reiniciado, o malware é executado.

Assim que o documento malicioso enviado pelo SideWinder é aberto pela vítima, recupera um template remoto a partir de um servidor controlado por um agente malicioso. O template externo que é descarregado é um ficheiro RTF que explora a vulnerabilidade CVE-2017-11882, e o malware chega, assim, ao PC da vítima.

A CPR explica, por exemplo, que observou que o grupo El Manchete enviava e-mails de phishing direcionados a organizações financeiras na Nicarágua, com um ficheiro Word anexado cujo título era “Planos obscuros do regime neonazi na Ucrânia”. O documento continha um artigo escrito e publicado por Alexander Khokholikov, o embaixador russo em Nicarágua que discutiu o conflito russo-ucraniano a partir da perspetiva do Kremlin.

Sergey Shykevich completa: “analisámos de perto o malware envolvido, e entre as capacidades encontramos desde o keylogging à captura de ecrã, e muito mais. Acredito vivamente que estas campanhas têm como motivação principal a ciber espionagem. As nossas descobertas revelam uma tendência clara em que o conflito Rússia-Ucrânia se tornou o tema de eleição dos grupos de cibercrime para ludibriar as vítimas. A minha recomendação para os governos, bancos e empresas energéticas é que reiterem com as suas equipas a importância da cibersegurança, e implementem soluções de cibersegurança que protejam as redes a todos os níveis”.

Além disso, é de notar que a CPR partilhou, recentemente, uma atualização das tendências de cibercrime a que se tem assistido enquanto decorre a guerra. Um mês depois do início, tanto a Rússia como a Ucrânia viram o número de ciberataques aumentar, 10% e 17%, respetivamente. A CPR constatou, ainda, que, a nível global, registou-se um aumento de 16%