Il Computer Emergency Response Team (CERT) dell’Ucraina ha pubblicato un avviso per evidenziare la pericolosità del gruppo Gamaredon, in particolare la velocità con cui riescono a rubare i dati delle vittime. Si tratta di cybercriminali che effettuano attività di cyberspionaggio per conto del servizio di sicurezza federale russo (FSB), da cui probabilmente vengono finanziati.
Furto di dati in 30 minuti
Il CERT ucraino ha rilevato migliaia di attacchi contro il governo e organizzazioni private e pubbliche. La catena di infezione inizia con l’invio di email o messaggi via Telegram, WhatsApp, Signal e altre app. Alle email sono allegati file HTM, HTA e LNK che sembrano documenti Microsoft Word o Excel.
Se la vittima apre i file vengono scaricati ed eseguiti script PowerShell e il malware GammaSteel. Vengono anche modificati tutti i modelli di Word in modo da nascondere macro infette nei documenti creati. Gli script PowerShell permettono di accedere ai cookie di sessione dei browser, mentre GammaSteel cerca file con specifiche estensioni: .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z e .mdb.
L’esfiltrazione dei file può avvenire anche in 30 minuti. I cybercriminali scaricano fino a 120 file a settimana sul computer per avere maggiori probabilità di persistenza. Se l’utente lascia un file su disco o lo ripristina per sbaglio da un backup, il computer verrà nuovamente infettato.
Il malware viene copiato su tutti i drive USB collegati, quindi si diffonde su altri computer, anche se isolati da Internet. Inoltre, i cybercriminali cambiano l’indirizzo IP dei server C2 (command and control) fino a sei volte al giorno per evitare la rilevazione.