A Campanha de phishing do FlyingYeti alinhado com a Rússia explorou o estresse financeiro dos cidadãos ucranianos para disseminar malware Cookbox. – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Uma campanha de phishing de um mês pelo grupo de ameaças alinhado à Rússia, FlyingYeti, tem aproveitado uma vulnerabilidade do WinRAR para entregar o malware Cookbox aos cidadãos ucranianos.

A equipe de inteligência de ameaças Cloudforce One observou em um aviso nesta semana que o ataque visava explorar o estresse financeiro dos cidadãos ucranianos após o fim de um moratório governamental sobre despejos e desconexões de serviços públicos por dívidas não pagas.

“FlyingYeti procurou capitalizar essa pressão, utilizando iscas relacionadas a reestruturação de dívidas e pagamentos na tentativa de aumentar suas chances de atingir com sucesso os indivíduos ucranianos,” observou o relatório.

Também conhecido como UAC-0149 pelo Computer Emergency Response Team da Ucrânia (CERT-UA), o FlyingYeti anteriormente mirava primariamente as entidades militares do país, mas ampliou seu foco para incluir alvos civis na última campanha.

As operações de phishing começaram em meados de abril, quando a Cloudforce One detectou os preparativos do FlyingYeti.

Os atacantes usaram iscas temáticas de dívida para enganar as vítimas a abrir arquivos maliciosos. Quando abertos, os arquivos infectavam o sistema da vítima com o malware Cookbox, uma ameaça baseada em PowerShell capaz de executar comandos maliciosos adicionais e payloads.

Os e-mails de phishing e mensagens do Signal do FlyingYeti se passavam pela autoridade habitacional do país, Kyiv Komunalka, e seu site, instando os destinatários a baixar um documento do Microsoft Word que então buscava um arquivo de arquivo WinRAR de um site hospedado no GitHub. O WinRAR é um utilitário arquivador de arquivos para Windows.

Esse arquivo explorava a vulnerabilidade do WinRAR para executar o malware Cookbox e continha vários arquivos, incluindo aqueles projetados para obscurecer as extensões de arquivos e parecerem documentos inofensivos.

Esses documentos falsos, que pareciam acordos de reestruturação de dívidas, continham links de rastreamento com Token Canário para monitorar o envolvimento da vítima.

O relatório observou que o malware também usava técnicas de persistência para permanecer no dispositivo da vítima, comunicando-se com um domínio de DNS dinâmico para fins de comando e controle (C2).

A monitorização da Cloudflare revelou que o FlyingYeti conduziu um extenso reconhecimento dos processos de pagamento de habitação comunitária e serviços públicos ucranianos, incluindo a análise de códigos QR usados para pagamentos.

O método de entrega de malware inicialmente alavancou a plataforma de computação serverless Workers da Cloudflare para buscar o arquivo WinRAR no GitHub. Quando a empresa descobriu este método, pôde encerrar a operação, mas o FlyingYeti se adaptou hospedando diretamente o malware no GitHub, observou a empresa.

Os esforços da Cloudflare incluíram notificar o GitHub, o que resultou na remoção do site de phishing, do arquivo WinRAR e na suspensão da conta associada.

Isso forçou o FlyingYeti a recorrer a outras soluções de hospedagem alternativas, incluindo os serviços de compartilhamento de arquivos online Pixeldrain e Filemail.

Ainda assim, os esforços contínuos de interrupção da Cloudflare prolongaram o tempo de execução do ataque e forçaram os atacantes a adaptar repetidamente suas táticas, o que acabou com os atores maliciosos desistindo da campanha por enquanto, relatou-se.

O FlyingYeti poderia facilmente ressurgir, no entanto: a Ucrânia foi alvo de vários grupos de ameaças durante sua guerra em curso com a Rússia, mais recentemente através de atacantes usando uma exploração antiga do Microsoft Office RCE de 2017 como vetor inicial.

No relatório, a Cloudflare recomendou várias medidas de segurança básicas para mitigar possíveis ameaças de phishing, começando com a implementação de fundamentos da arquitetura de confiança zero.

“Certifique-se de que seus sistemas tenham as atualizações de segurança mais recentes do WinRAR e do Microsoft instaladas,” observou o relatório. “Considere impedir que arquivos WinRAR entrem em seu ambiente, tanto em sua solução de Segurança de Email na Nuvem quanto em seu Gateway de Tráfego na Internet.”

Outra medida de segurança por e-mail deve se concentrar na proteção contra phishing, comprometimento de e-mails comerciais (BEC) e outras ameaças, enquanto o isolamento do navegador pode separar aplicativos de mensagens como LinkedIn, e-mail e Signal da rede principal.

Além disso, escanear, monitorar e aplicar controles sobre dados específicos ou sensíveis que passam pelo ambiente de rede com políticas de prevenção de perda de dados também foram recomendados.

Executar uma ferramenta de detecção e resposta de endpoint (EDR), por exemplo, o Microsoft Defender para Endpoint, pode fornecer visibilidade sobre a execução binária nos hosts.

Por fim, buscar na rede os indicadores de comprometimento (IOC) do FlyingYeti, incluídos no relatório, pode ajudar a identificar potencial atividade maliciosa.

Você também pode gostar

Tribunal Holandês Condena Cofundador da Tornado Cash a 5 Anos de Prisão por Lavagem de Dinheiro

Expansão de IA Generativa e Ataques à Cadeia de Suprimentos de Software Estão Sendo Explorados Para Perturbar, Manipular e Roubar

Plataforma de Resposta da SHQ e Centro de Risco para Capacitar Gestores e Analistas