Continua (purtroppo) la guerra sul campo, ma anche quella digitale. Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha rilevato due nuove campagne malware contro le agenzie governative. Una è stata effettuata con il noto trojan bancario IcedID, mentre la seconda ha sfruttato una vulnerabilità di Zimbra Collaboration Suite, un software di collaborazione aziendale.
Nuovi cyberattacchi contro l’Ucraina
Il primo avviso di sicurezza del CERT-UA descrive un attacco effettuato mediante l’invio di email con un file Excel in allegato. Il metodo utilizzato è piuttosto noto. Quando l’utente attiva l’esecuzione delle macro inclusa nel foglio di lavoro, viene scaricato il malware sul computer.
Si tratta di GzipLoader che successivamente preleva ed esegue IcedID (noto anche come BankBot), un trojan bancario modulare in grado di rubare le credenziali degli account e scaricare altri payload, tra cui Cobalt Strike, ransomware e wiper.
Il secondo avviso di sicurezza descrive un attacco effettuato sempre tramite email indirizzate ad alcune agenzie governative, ma stavolta il malware è nascosto nelle immagini JPG allegate che, in base a quanto scritto nel messaggio, mostra la premiazione dei militari durante un evento presenziato dal Presidente Zelensky.
Nell’intestazione “content-location” delle immagini c’è il link ad uno script JavaScript che sfrutta la vulnerabilità CVE-2018-6882 della Zimbra Collaboration Suite. Il bug presente nelle versioni 8.7 e precedenti consente l’esecuzione di codice arbitrario. In questo caso viene aggiunta una regola di forwarding che inoltra tutte le email ad un indirizzo controllato dai cybercriminali. Lo scopo è chiaramente quello di spiare i dipendenti del governo. Ovviamente deve essere subito installata l’ultima versione del software.