I ricercatori di SentinelOne hanno indagato sulle attività del gruppo Winter Viven, scoperto varie campagne di spionaggio contro organizzazioni governative e operatori di telecomunicazioni europei. I cybercriminali usano diverse tattiche per rubare informazioni sensibili dai computer, tra cui un falso antivirus. Il consiglio è installare una soluzione di sicurezza che può rilevare e bloccare queste minacce.
Furto di file con scansione antivirus
Il gruppo Winter Vivern è filo-russo e colpisce principalmente Ucraina e paesi occidentali. Secondo SentinelOne, uno degli attacchi più recenti è stato effettuato contro il Ministero degli esteri italiano. Dall’inizio del 2023 hanno aperto vari siti con aspetto simile a quello di siti governativi. Le vittime ricevono email di phishing con link a questi siti fasulli che ospitano file infetti.
In alcuni casi si tratta di file XLS con macro che eseguono script PowerShell. Il malware distribuito con gli script è Aperitif, scritto in Visual C++ e ospitato su siti WordPress compromessi. Si tratta di uno spyware che raccoglie numerose informazioni dal computer, scatta screenshot e ruba i file che successivamente sono inviati al server C2 (command and control).
La sua particolarità è quella di mostrare sullo schermo una finta scansione antivirus mentre viene scaricato il payload in background. Le tattiche usate dal gruppo Winter Vivern non sono molto complesse, ma sono piuttosto efficaci. Una soluzione di sicurezza aggiornata può rilevare e bloccare questo tipi di minaccia.