Sandworm: nuova campagna di spionaggio in Ucraina

Sandworm: nuova campagna di spionaggio in Ucraina

I cybercriminali russi del gruppo Sandworm sfruttano domini simili a quelli di operatori TLC per distribuire i malware Colibri Loader e Warzone RAT.
I cybercriminali russi del gruppo Sandworm sfruttano domini simili a quelli di operatori TLC per distribuire i malware Colibri Loader e Warzone RAT.

Sandworm è uno dei gruppi più attivi nella cosiddetta cyberwar iniziata prima della guerra sul campo e tuttora in corso. I cybercriminali russi utilizzano varie tecniche per colpire bersagli in Ucraina (aziende e altre organizzazioni). Una di esse, nota come HTML smuggling, permette di distribuire i malware Colibri Loader e Warzone RAT.

Sandworm sfrutta i domini degli operatori TLC

La catena di infezione inizia con il classico phishing. Le vittime ricevono email da domini simili a quelli degli operatori di telecomunicazioni ucraini, tra cui Datagroup, Kyivstar e EuroTransTelecom. Quando gli ignari utenti visitano le pagine web indicate nei messaggi, sul computer viene scaricata automaticamente un’immagine ISO codificata con base64. La tecnica HTML smuggling consente ai cybercriminali di nascondere nella pagina il codice JavaScript che effettua il download.

All’interno dell’immagine ISO ci sono i malware Colibri Loader e Warzone RAT. Il primo, come si deduce dal nome, viene sfruttato per scaricare altri malware, tra cui info-stealer che raccolgono numerose informazioni dal computer.

Il secondo è invece un potente RAT (Remote Access Trojan) che può aggirare il controllo account utente, rubare cookie e password, registrare i tasti premuti (keylogger) ed eseguire varie operazioni sui file. Si tratta quindi di due ottimi tool per lo spionaggio.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 20 set 2022
Link copiato negli appunti