La guerra sul campo è (purtroppo) ancora in corso dopo quasi sette mesi, ma continua anche la cyberwar contro il governo ucraino. Gli esperti di Cisco Talos hanno scoperto una nuova campagna di phishing avviata dal gruppo di cybercriminali russi Gamaredon con l’obiettivo di rubare informazioni sensibili. È parte di una vasta operazione di spionaggio avviata nel mese di agosto.
Phishing e info-stealer contro l’Ucraina
La catena di infezione inizia con documenti Office distribuiti via email (spear phishing). All’apertura del documento viene eseguita una macro VBS che scarica un archivio RAR, all’interno del quale c’è solo un file LNK. Cliccando sul file viene scaricato uno script PowerShell che raccoglie varie informazioni sul computer della vittima, successivamente inviate al server remoto.
Viene quindi installato un info-stealer della famiglia Giddome che effettua la scansione di tutti i dispositivi di storage collegati alla rete e di numerose directory alla ricerca di specifici file (.doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z e .mdb). Il malware crea una copia dei file nella directory TEMP e li invia al server C2 (command and control). Per ottenere la persistenza (avvio automatico) viene infine aggiunta una chiave al registro di Windows.
Il malware, così come il documento Office e il file RAR, possono essere rilevati e bloccati dalla maggioranza degli antivirus sul mercato, tra cui Avast Premium Security.