Table of Contents
Os esforços da Ucrânia para recrutar novos soldados para servir em seu exército na guerra do país contra a Rússia estão sob um ataque cibernético de duas frentes por atores de ameaça apoiados pelo Kremlin.
Pesquisadores do Grupo de Inteligência de Ameaças (TAG) do Google e a Mandiant rastrearam uma campanha ativa que utiliza uma versão falsa da ferramenta legítima em ucraniano “Defesa Civil”, uma ferramenta de mapeamento colaborativo usada para localizar recrutas militares. Os atacantes estão usando a versão falsa para realizar duas ações maliciosas: instalar malware e disseminar desinformação.
A operação híbrida, que os pesquisadores nomearam UNC5812, usa um canal do Telegram para atrair potenciais recrutas a baixarem a versão maliciosa da “Defesa Civil” de um site falso, fora dos limites da Google Play. Uma vez baixado, o aplicativo instala malware para Windows e Android.
Uso de Malware e Engenharia Social pela Oposição Russa
Usuários do Windows que acessam o site falso da “Defesa Civil” para baixar a ferramenta receberão o Pronsis Loader, que inicia uma cadeia para entregar um aplicativo de mapeamento malicioso chamado Sunspinner, além de um infostealer chamado Purestealer.
Os usuários do Android, por outro lado, recebem um backdoor comum chamado Craxsrat, além do Sunspinner.
“Notavelmente, o site da Defesa Civil também contém uma forma não convencional de engenharia social projetada para antecipar as suspeitas dos usuários sobre a entrega do APK fora da App Store e justificar as extensas permissões exigidas para a instalação do Craxsrat”, observou o relatório. “A seção de perguntas frequentes do site contém uma justificativa forçada para o aplicativo Android estar hospedado fora da App Store, sugerindo que é um esforço para ‘proteger a anonimidade e a segurança’ de seus usuários e direcionando-os para um conjunto de instruções em vídeo acompanhando.”
O vídeo também fornece instruções sobre como desativar o Google Play Protect.
“Enquanto o site da Defesa Civil também anuncia suporte para macOS e iPhones, somente as cargas para Windows e Android estavam disponíveis no momento da análise”, disse o relatório.
Sunspinner, um aplicativo de interface gráfica do usuário (GUI) para engano escrito usando o framework Flutter, oferece funcionalidades destinadas a convencer as vítimas de que o aplicativo é legítimo.
“Em consonância com a funcionalidade anunciada no site [legítimo] da Defesa Civil, o Sunspinner é capaz de exibir marcadores colaborativos com as localizações dos recrutas militares ucranianos, com a opção de os usuários adicionarem seus próprios marcadores”, de acordo com a análise do Google TAG. Mas o mapa falso oferece apenas locais falsos: “No entanto, apesar de possuir a funcionalidade limitada exigida para que os usuários se registrem e adicionem marcadores, o mapa exibido não parece ter nenhuma entrada genuína de usuários. Todos os marcadores presentes [foram puxados do C2 do atacante] e foram adicionados no mesmo dia pelo mesmo usuário.”
Esforço Paralelo Anti-Mobilização Contra o Exército Ucraniano
Paralelamente ao esforço de espionagem, o outro objetivo da campanha falsa da Defesa Civil russa é disseminar desinformação destinada a suprimir o esforço de mobilização militar da Ucrânia para a guerra. As versões maliciosas do site e do Telegram da Defesa Civil têm disseminado vídeos com títulos incendiários e anti-militares ucranianos.
Os usuários que clicam no botão fornecido pelo site operado por hackers russos para “Enviar Material,” ostensivamente para desacreditar os esforços de recrutamento, são automaticamente direcionados a um thread de bate-papo controlado pelo atacante,” disse o relatório. “Conteúdo anti-mobilização publicado no site do grupo e no canal Telegram parece ter origem em ecossistemas mais amplos das mídias sociais pró-russas. Em pelo menos uma instância, um vídeo compartilhado pela UNC5812 foi compartilhado um dia depois pela conta do Twitter da Embaixada Russa na África do Sul.”
A Rússia tem utilizado consistentemente ataques cibernéticos como parte de sua estratégia de guerra contra a Ucrânia, bem como contra outros governos, incluindo uma recente campanha de ataque de negação de serviço distribuído (DDoS).
Hackers russos também têm trabalhado freneticamente para distribuir desinformação antes da eleição de 2024 nos EUA. O grupo de ameaças atualmente entendido como mais ativo e diretamente apoiando as atividades militares russas na Ucrânia é o Sandworm, mas, como esta nova campanha “Defesa Civil” evidencia, este é apenas um dos muitos grupos de hackers realizando o trabalho sujo do Kremlin no ciberespaço.
Quais os principais tipos de malware utilizados na campanha UNC5812?
Na campanha UNC5812, conduzida pelo grupo de ameaça russo, os principais tipos de malware utilizados para targetar os recrutas militares ucranianos são variados e sofisticados. Esses ataques não apenas visam comprometer informações sensíveis, mas também se inserem em uma estratégia de desinformação e manipulação das forças de defesa civil da Ucrânia. A seguir, analisaremos os principais tipos de malware utilizados nesta campanha.
Malware para Usuários de Windows
- Pronsis Loader: Este é um loader de malware que busca e entrega payloads adicionais maliciosos do servidor de UNC5812. Especificamente, ele fornece um aplicativo de mapeamento falso chamado Sunspinner e um infostealer conhecido como PureStealer. O PureStealer é capaz de roubar informações armazenadas em navegadores web, como senhas, cookies, detalhes de carteiras de criptomoedas, clientes de email e dados de aplicativos de mensagens.
Malware para Usuários de Android
- CraxsRAT: Este é um backdoor comercialmente disponível que permite aos atacantes monitorar a localização dos usuários em tempo real, registrar teclas pressionadas, ativar gravações de áudio, recuperar listas de contatos, acessar mensagens SMS, exfiltrar arquivos e coletar credenciais. Além disso, algumas variantes do CraxsRAT também incluem o Sunspinner.
Esses malwares são parte de uma operação híbrida que combina espionagem e influência para comprometer os esforços de recrutamento militar da Ucrânia. O uso de malware como o Pronsis Loader e o CraxsRAT demonstra a complexidade e a sofisticação das táticas empregadas pelo Kremlin para desestabilizar a Ucrânia.
Impacto na Defesa Civil e Recrutamento
A utilização desses tipos de malware não apenas compromete a segurança dos dados dos ucranianos, mas também afeta diretamente a capacidade de recrutamento e mobilização das forças de defesa civil. A desinformação e a manipulação psicológica são estratégias que visam minar a confiança e a moral das tropas, tornando-as mais vulneráveis a ataques e influências externas.
Conclusão
Os ataques cibernéticos, como os observados na campanha UNC5812, ressaltam a importância de uma postura proativa em relação à segurança cibernética. A proteção contra malware e a conscientização sobre as táticas de desinformação são essenciais para garantir a integridade das operações de recrutamento e a eficácia da defesa civil na Ucrânia. À medida que o Kremlin continua a empregar essas táticas, é crucial que os ucranianos permaneçam vigilantes e preparados para enfrentar essas ameaças.
Fontes de Pesquisa
- Russian Malware Campaign Targets Ukrainian Recruits Via Telegram
- Russia targets Ukrainian conscripts with Windows, Android malware
#ciberataque, #malware, #desinformação, #recrutamento, #CivilDefense, #Kremlin, #cryptoalch