Il Threat Analysis Group di Google ha scoperto una campagna di phishing effettuata dal gruppo Cold River (noto anche come Star Blizzard e Callisto) contro organizzazioni non governative, paesi della NATO e ufficiali militari occidentali. I cybercriminali russi, vicini al governo, usano il nuovo malware Spica per attività di spionaggio, quindi l’obiettivo è accedere a dati riservati.
Cyberspionaggio con backdoor
I cybercriminali contattano le vittime spacciandosi per esperti in determinate materie e cercano di instaurare un rapporto di fiducia. L’attacco di phishing inizia con l’invio di un documento PDF da un account che sembra appartenere ad un conoscente del destinatario. Il testo del documento appare cifrato, quindi la vittima chiede informazioni e riceve il link al tool che dovrebbe permettere di decifrare il contenuto.
In realtà, l’utility è la backdoor Spica, scritta in Rust, che usa JSON per lo scambio di dati con il server C2 (command and control). All’avvio, l’utente vede un documento PDF, mentre il malware stabilisce la persistenza in background (tramite un comando PowerShell che crea un’attività pianificata) e attende i comandi dal server remoto.
Spica può eseguire comandi arbitrari, rubare cookie da Edge, Chrome, Firefox e Opera, scaricare file, effettuare la scansione del filesystem e cercare documenti che vengono successivamente esfiltrati in un archivio. Gli esperti di Google hanno identificato quattro varianti della backdoor. L’azienda di Mountain View ha aggiornato Safe Browsing e avvisato tutti i target dei cybercriminali, consigliando di attivare la funzionalità Enhanced Safe Browsing in Chrome.