Campagna di phishing russa contro target ucraini

Campagna di phishing russa contro target ucraini

Il CERT dell'Ucraina ha individuato una nuova campagna di phishing attuata da cybercriminali russi per distribuire MASEPIE e altri malware.
Campagna di phishing russa contro target ucraini
Il CERT dell'Ucraina ha individuato una nuova campagna di phishing attuata da cybercriminali russi per distribuire MASEPIE e altri malware.

La guerra è in corso da quasi due anni. Oltre che sul campo, gli scontri tra i due paesi proseguono anche tramite Internet con cyberattacchi di ogni tipo. Uno dei più recenti, scoperto dal Computer Emergency Response Team (CERT) dell’Ucraina, è stato attuato da cybercriminali russi sfruttando il tradizionale phishing. L’obiettivo è distribuire MASEPIE.

MASEPIE scarica altri malware

Secondo il CERT ucraino, gli autori della campagna di phishing sono i cybercriminali del gruppo APT28 (Fancy Bear o Strontium), noti anche per numerosi attacchi contro organizzazioni, aziende e università occidentali. Tra il 15 e il 25 dicembre, le vittime hanno ricevuto email urgente con link a documenti importanti.

Quando l’ignaro destinatario clicca sul link viene eseguito uno script JavaScript che scarica un file LNK sul computer. Quest’ultimo esegue comandi PowerShell che avviano la catena di infezione. Viene quindi installato il downloader MASEPIE, scritto in Python, che stabilisce la persistenza tramite una chiave nel registro di Windows e un collegamento nella directory Esecuzione automatica.

Il CERT ha scoperto che MASEPIE scarica altri malware e raccoglie informazioni dell’utente. Durante l’attacco è stato utilizzato anche lo script STEELHOOK che ruba dati da Chrome, tra cui password, cookie di autenticazione e cronologia di navigazione.

I cybercriminali russi hanno inoltre distribuito la backdoor OCEANMAP che usa IMAP (Internet Message Access Protocol) per ricevere comandi da remoto. L’attacco completo viene portato a termine entro un’ora, quindi è piuttosto difficile rilevare le infezioni (se i computer non sono adeguatamente protetti).

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 29 dic 2023
Link copiato negli appunti