A Cloudflare informou na quinta-feira que tomou medidas para interromper uma campanha de phishing de um ator de ameaça alinhado com a Rússia chamado FlyingYeti, que visava a Ucrânia. A campanha FlyingYeti capitalizou sobre a ansiedade pela perda potencial de acesso à moradia e serviços públicos, atraindo alvos para abrir arquivos maliciosos por meio de iscas temáticas de dívidas. Se abertos, os arquivos resultariam em infecção com o malware PowerShell conhecido como COOKBOX, permitindo à FlyingYeti apoiar objetivos subsequentes, como instalação de cargas adicionais e controle sobre o sistema da vítima. FlyingYeti é a denominação usada pela empresa de infraestrutura web para rastrear um cluster de atividades que o Computer Emergency Response Team da Ucrânia (CERT-UA) está monitorando sob o codinome UAC-0149. Ataques anteriores divulgados pela agência de segurança cibernética envolveram o uso de anexos maliciosos enviados por meio do aplicativo de mensagens instantâneas Signal para entregar o COOKBOX, um malware baseado em PowerShell capaz de carregar e executar cmdlets. A última campanha detectada pela Cloudforce One em meados de abril de 2024 envolve o uso de Cloudflare Workers e GitHub, juntamente com a exploração da vulnerabilidade do WinRAR rastreada como CVE-2023-38831. A empresa descreveu o ator de ameaça como focado principalmente em alvejar entidades militares ucranianas, acrescentando que ele utiliza DNS dinâmico (DDNS) para sua infraestrutura e aproveita plataformas baseadas em nuvem para a criação de conteúdo malicioso e para fins de comando e controle (C2). As mensagens de e-mail foram observadas empregando iscas de reestruturação de dívidas e relacionadas a pagamentos para atrair destinatários a clicar em uma página GitHub agora removida (komunalka.github[.]io) que se faz passar pelo site Kyiv Komunalka e os instrui a baixar um arquivo do Word da Microsoft. Mas, na realidade, clicar no botão de download na página resulta na obtenção de um arquivo de arquivo RAR, mas somente após a avaliação da solicitação HTTP a um Cloudflare Worker. O arquivo RAR, uma vez aberto, utiliza a vulnerabilidade CVE-2023-38831 para executar o malware COOKBOX. O malware é projetado para persistir em um host, servindo como uma base no dispositivo infectado. Uma vez instalado, essa variante de COOKBOX fará solicitações ao domínio DDNS postdock[.]serveftp[.]com para o C2, aguardando cmdlets do PowerShell que o malware executará subsequentemente. O desenvolvimento ocorre enquanto o CERT-UA avisou sobre um aumento nos ataques de phishing de um grupo financeiramente motivado conhecido como UAC-0006 que são projetados para soltar o malware SmokeLoader, que é então usado para implantar malware adicional, como o TALESHOT. Campanhas de phishing também miraram organizações financeiras europeias e americanas para entregar um software legítimo de Monitoramento e Gerenciamento Remoto (RMM) chamado SuperOps, embalando seu instalador MSI dentro de uma versão trojanizada do popular jogo Campo Minado. Executar este programa em um computador fornecerá acesso remoto não autorizado ao computador para terceiros. A divulgação também segue um relatório da Flashpoint, que revelou que grupos avançados de ameaças persistentes russas estão simultaneamente evoluindo e aprimorando suas táticas, assim como expandindo seus alvos. Eles estão usando novas campanhas de spear-phishing para extrair dados e credenciais, entregando malware vendido em mercados ilícitos. As famílias de malware mais prevalentes usadas nessas campanhas de spear-phishing foram Agent Tesla, Remcos, SmokeLoader, Logger de Teclas Snake e GuLoader.