Um grupo avançado de ameaça persistente, conhecido como “Fancy Bear”, está por trás de uma campanha de phishing que usa o temor da guerra nuclear para explorar uma vulnerabilidade conhecida da Microsoft. O propósito desta ação é instalar malware que visa roubar informações dos navegadores Chrome, Firefox e Edge.
De acordo com pesquisadores da Inteligência de Ameaça Malwarebytes, os ataques do APT ligado à Rússia estão relacionados à guerra entre a Rússia e a Ucrânia. Relatam que o Fancy Bear está lançando documentos perigosos armados com um exploit para a Vulnerabilidade de Follina (CVE-2022-30190), uma falha de um clique conhecida do Microsoft, conforme publicado em uma postagem na semana passada.
Este é o primeiro caso em que detectamos o APT28 empregando Follina em suas atividades, afirmaram os investigadores no artigo. O grupo criminoso também é referido como APT28, Strontium e Sofacy.
Em 20 de junho, os investigadores da Malwarebytes avistaram pela primeira vez o documento malicioso, que puxa e executa um ladrão .Net reportado previamente pelo Google. O Grupo de Análise de Ameaças do Google (TAG) notou que o Fancy Bear já empregou esse vírus para alvejar usuários na Ucrânia.
A Equipe de Resposta de Emergência a Computadores da Ucrânia (CERT-UA) descobriu isoladamente o arquivo maligno usado na última campanha de phishing pela Urso Fantasia, de acordo com a Malwarebytes.
Um urso estava passeando pelo Looze.
A CERT-UA identificou previamente o Urso Extravagante como um dos muitos APTs combatendo a Ucrânia através de ataques cibernéticos ao mesmo tempo em que tropas russas invadiram no fim de fevereiro. É suposto que o grupo esteja operando sob a direção da inteligência russa com o objetivo de obter informações úteis para a agência.
No passado, a Fancy Bear foi associada a ações que objetivam interferir em eleições nos EUA e na Europa, além de invasões em agências esportivas e de combate ao doping ligadas às Olimpíadas de 2020.
Em abril, os pesquisadores cercaram Follina, mas não foi até maio que foi formalmente classificada como uma falha zero-click. A Follina está conectada à Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT) e usa o protocolo ms-msdt para carregar código perigoso do Word ou outros documentos do Office quando eles são abertos.
Devido à sua extensão de ataque, o bug é considerado perigoso. Afeta qualquer usuário que utilize o Microsoft Office em quaisquer versões de suporte do Windows. Se explorado bem, os invasores podem ganhar privilégios de usuário para assumir completamente o sistema, instalar programas, visualizar, modificar ou apagar dados e criar novas contas.
A Microsoft recentemente ajustou a falha que havia sido lançada em junho, na terça-feira de Patch, porém ela ainda se encontra sob a ação ativa de agentes de ameaças, inclusive grupos APTs conhecidos.
Ameaça de um ataque nuclear é uma preocupação real.
A campanha da Fancy Bear visando usuários de e-mail que possuem um arquivo RTF malicioso intitulado “Nuclear Terrorism: A Very Real Threat” foi desenvolvida com o objetivo de explorar os receios das vítimas de que a invasão da Ucrânia possa se transformar em um conflito nuclear, de acordo com o post dos pesquisadores. O conteúdo do documento é um artigo do Atlantic Council que discute a possibilidade de Putin empregar armas nucleares na guerra na Ucrânia.
O arquivo Document.xml.rels possui um modelo remoto, que é usado para recuperar um arquivo HTML externo a partir do URL http://kitten-268.frge.io/article.html. Este arquivo HTML contém uma função JavaScript para window.location.href, o que permite executar um script PowerShell codificado usando o esquema ms-msdt MSProtocol URI, de acordo com a análise dos pesquisadores.
O Poder Shell é portador da carga última – uma versão do vírus .Net anteriormente identificada pelo Google em outras campanhas de Fancy Bear na Ucrânia. Em comparação com a variante mais antiga do roubo, que usava uma mensagem de erro falsa pop-up para desviar a atenção do usuário do que estava acontecendo, a variante usada na campanha nuclear não usou nada assim, afirmaram os pesquisadores.
A última versão observada é praticamente similar à anterior, “com apenas algumas pequenas alterações e outros comandos de descanso agregados”, informou.
Assim como a variante anterior, o objetivo primordial do roubo é apropriar-se de informações – incluindo as credenciais do site, como nome de usuário, senha e URL – de diversos navegadores usuais, tais como o Google Chrome, Microsoft Edge e Firefox. O malware então usa o protocolo IMAP de e-mail para expatriar esses dados para um servidor de comando e controle diferente da maneira que a versão prévia fez, mas para um domínio distinto, afirmaram os pesquisadores.
Os ladrões tinham usado anteriormente o mail.sartoc.com (144.208.77.68) como meio para roubar dados, mas o novo golpe usa um domínio diferente – www.specialityllc.com – e ambos os sites são localizados em Dubai.
Os donos dos websites não possuem qualquer relação com o APT28, apenas aproveitando-se dos sites desatualizados ou vulneráveis, de acordo com os estudiosos.
Editar e compartilhar este artigo.
- O Governo Federal divulgou recentemente novas ações destinadas ao combate da pandemia do coronavírus.
- Cordialmente, eu lhe imploro um favor.
- Malware é um programa malicioso que pode ser empregado para obter dados confidenciais.
- Vulnerabilidades de segurança são passagens abertas na segurança que podem ser usadas por criminosos virtuais para invadir um sistema.
