Sandworm è uno dei gruppi più attivi nella cosiddetta cyberwar iniziata prima della guerra sul campo e tuttora in corso. I cybercriminali russi utilizzano varie tecniche per colpire bersagli in Ucraina (aziende e altre organizzazioni). Una di esse, nota come HTML smuggling, permette di distribuire i malware Colibri Loader e Warzone RAT.
Sandworm sfrutta i domini degli operatori TLC
La catena di infezione inizia con il classico phishing. Le vittime ricevono email da domini simili a quelli degli operatori di telecomunicazioni ucraini, tra cui Datagroup, Kyivstar e EuroTransTelecom. Quando gli ignari utenti visitano le pagine web indicate nei messaggi, sul computer viene scaricata automaticamente un’immagine ISO codificata con base64. La tecnica HTML smuggling consente ai cybercriminali di nascondere nella pagina il codice JavaScript che effettua il download.
All’interno dell’immagine ISO ci sono i malware Colibri Loader e Warzone RAT. Il primo, come si deduce dal nome, viene sfruttato per scaricare altri malware, tra cui info-stealer che raccolgono numerose informazioni dal computer.
Il secondo è invece un potente RAT (Remote Access Trojan) che può aggirare il controllo account utente, rubare cookie e password, registrare i tasti premuti (keylogger) ed eseguire varie operazioni sui file. Si tratta quindi di due ottimi tool per lo spionaggio.
Ti potrebbe interessare
20 set 2022