Μια υβριδική εκστρατεία κατασκοπείας/επιρροής που διεξήχθη από τη ρωσική ομάδα απειλών «UNC5812» αποκαλύφθηκε, η οποία στοχεύει νεοσύλλεκτους Ουκρανούς στρατιώτες με κακόβουλο λογισμικό Windows και Android.
Σύμφωνα με τις πληροφορίες απειλών της Google, η καμπάνια υποδύθηκε μια περσόνα «Πολιτικής Άμυνας» μαζί με έναν ιστότοπο και ένα αποκλειστικό κανάλι Telegram για τη διανομή κακόβουλου λογισμικού μέσω μιας ψεύτικης εφαρμογής αποφυγής στρατολόγησης που ονομάστηκε «Sunspinner» από τους ερευνητές.
Η καμπάνια στοχεύει συσκευές Windows και Android χρησιμοποιώντας ξεχωριστό κακόβουλο λογισμικό για κάθε πλατφόρμα, παρέχοντας στους εισβολείς δυνατότητες κλοπής δεδομένων και κατασκοπείας σε πραγματικό χρόνο.
Η Google έχει εφαρμόσει ασφάλειες για να εμποδίσει την κακόβουλη δραστηριότητα, αλλά η επιχείρηση υπογραμμίζει τη συνεχιζόμενη χρήση και τις εκτεταμένες δυνατότητες της Ρωσίας στον χώρο του κυβερνοπολέμου.
Ψεύτικη περσόνα «Πολιτικής Άμυνας».
Η περσόνα του UNC5812 δεν επιχειρεί να υποδυθεί την Πολιτική Άμυνα της Ουκρανίας ή οποιεσδήποτε κυβερνητικές υπηρεσίες, αλλά αντ’ αυτού προωθείται ως μια νόμιμη οργάνωση φιλική προς την Ουκρανία που παρέχει στους Ουκρανούς στρατεύσιμους χρήσιμα εργαλεία λογισμικού και συμβουλές.
Η περσόνα χρησιμοποιεί ένα κανάλι Telegram και έναν ιστότοπο για να προσελκύσει πιθανά θύματα και να παραδώσει αφηγήσεις ενάντια στις προσπάθειες στρατολόγησης και κινητοποίησης της Ουκρανίας, με στόχο να προκαλέσει δυσπιστία και αντίσταση στον πληθυσμό.
Όταν η Google ανακάλυψε την καμπάνια στις 18 Σεπτεμβρίου 2024, το κανάλι «Civil Defense» στο Telegram είχε 80.000 μέλη.
Οι χρήστες που παραπλανήθηκαν για να επισκεφτούν τον ιστότοπο της Πολιτικής Άμυνας μεταφέρονται σε μια σελίδα λήψης μιας κακόβουλης εφαρμογής που προωθείται ως εργαλείο χαρτογράφησης που προέρχεται από το πλήθος και μπορεί να βοηθήσει τους χρήστες να παρακολουθούν τις τοποθεσίες των υπαλλήλων προσλήψεων και να τις αποφύγουν.
Η Google αποκαλεί αυτήν την εφαρμογή “Sunspinner, και παρόλο που η εφαρμογή διαθέτει χάρτη με δείκτες, η Google λέει ότι τα δεδομένα είναι κατασκευασμένα. Ο μόνος σκοπός της εφαρμογής είναι να κρύψει την εγκατάσταση κακόβουλου λογισμικού που πραγματοποιείται στο παρασκήνιο.
Απόρριψη κακόβουλου λογισμικού Windows και Android.
Οι ψεύτικες εφαρμογές προσφέρουν λήψεις Windows και Android και υπόσχονται να προσθέσουν iOS και macOS σύντομα, επομένως οι πλατφόρμες της Apple δεν υποστηρίζονται ακόμη.
Η λήψη των Windows εγκαθιστά το Pronsis Loader, ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού που ανακτά επιπλέον κακόβουλα ωφέλιμα φορτία από τον διακομιστή του UNC5812, συμπεριλαμβανομένου του εργαλείου κλοπής πληροφοριών εμπορευμάτων «PureStealer».
Το PureStealer στοχεύει πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης ιστού, όπως κωδικούς πρόσβασης λογαριασμού, cookie, λεπτομέρειες πορτοφολιού κρυπτονομισμάτων, προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου και δεδομένα εφαρμογών ανταλλαγής μηνυμάτων.
Στο Android, το ληφθέν αρχείο APK αποσύρει το CraxsRAT, επίσης ένα εμπορικά διαθέσιμο backdoor.
Το CraxsRAT επιτρέπει στους επιτιθέμενους να παρακολουθούν την τοποθεσία του θύματος σε πραγματικό χρόνο, να καταγράφουν τα πλήκτρα τους, να ενεργοποιούν ηχογραφήσεις, να ανακτούν λίστες επαφών, να έχουν πρόσβαση σε μηνύματα SMS, να διεγείρουν αρχεία και να συλλέγουν διαπιστευτήρια.
Για να εκτελέσει απρόσκοπτα αυτές τις κακόβουλες δραστηριότητες, η εφαρμογή εξαπατά τους χρήστες να απενεργοποιήσουν το Google Play Protect, το ενσωματωμένο εργαλείο κατά του κακόβουλου λογισμικού του Android και να του εκχωρήσει μη αυτόματα επικίνδυνα δικαιώματα.
Η Google ενημέρωσε τις προστασίες του Google Play για να εντοπίσει και να αποκλείσει έγκαιρα το κακόβουλο λογισμικό Android και πρόσθεσε επίσης τους τομείς και τα αρχεία που σχετίζονται με την καμπάνια στη λειτουργία “Ασφαλής περιήγηση” στο Chrome.
Η πλήρης λίστα των δεικτών συμβιβασμού που σχετίζονται με την πιο πρόσφατη καμπάνια UNC5812 είναι διαθέσιμη εδώ.
VIA: bleepingcomputer.com