La guerra è in corso da quasi due anni. Oltre che sul campo, gli scontri tra i due paesi proseguono anche tramite Internet con cyberattacchi di ogni tipo. Uno dei più recenti, scoperto dal Computer Emergency Response Team (CERT) dell’Ucraina, è stato attuato da cybercriminali russi sfruttando il tradizionale phishing. L’obiettivo è distribuire MASEPIE.
MASEPIE scarica altri malware
Secondo il CERT ucraino, gli autori della campagna di phishing sono i cybercriminali del gruppo APT28 (Fancy Bear o Strontium), noti anche per numerosi attacchi contro organizzazioni, aziende e università occidentali. Tra il 15 e il 25 dicembre, le vittime hanno ricevuto email urgente con link a documenti importanti.
Quando l’ignaro destinatario clicca sul link viene eseguito uno script JavaScript che scarica un file LNK sul computer. Quest’ultimo esegue comandi PowerShell che avviano la catena di infezione. Viene quindi installato il downloader MASEPIE, scritto in Python, che stabilisce la persistenza tramite una chiave nel registro di Windows e un collegamento nella directory Esecuzione automatica.
Il CERT ha scoperto che MASEPIE scarica altri malware e raccoglie informazioni dell’utente. Durante l’attacco è stato utilizzato anche lo script STEELHOOK che ruba dati da Chrome, tra cui password, cookie di autenticazione e cronologia di navigazione.
I cybercriminali russi hanno inoltre distribuito la backdoor OCEANMAP che usa IMAP (Internet Message Access Protocol) per ricevere comandi da remoto. L’attacco completo viene portato a termine entro un’ora, quindi è piuttosto difficile rilevare le infezioni (se i computer non sono adeguatamente protetti).
Ti potrebbe interessare
29 dic 2023