Numa campanha de spearphishing rápida e sofisticada, que durou apenas um dia, vários membros da administração governamental regional da Ucrânia e organizações de ajuda humanitária foram alvo de um novo tipo de ciberataque. Batizada de PhantomCaptcha, a operação utilizou um método engenhoso para enganar as vítimas, fazendo-as instalar um Trojan de Acesso Remoto (RAT) disfarçado de um simples pedido de verificação CAPTCHA.
Entre os alvos encontravam-se entidades cruciais para o esforço de guerra na Ucrânia, como o Comité Internacional da Cruz Vermelha, a UNICEF e várias outras organizações não governamentais. Segundo os investigadores da SentinelLABS, embora o ataque tenha ocorrido integralmente a 8 de outubro, os seus preparativos começaram meses antes, com alguns dos domínios utilizados a serem registados no final de março.
O engenhoso truque do "Não sou um robô"
Os ataques começaram com emails que se faziam passar pelo Gabinete do Presidente da Ucrânia. Estes emails continham ficheiros PDF maliciosos que, por sua vez, incluíam um link para um domínio que imitava a plataforma de videochamadas Zoom.
Ao clicar no falso link, a vítima era confrontada com o que parecia ser uma verificação de segurança automática do navegador, semelhante a um CAPTCHA da Cloudflare. Para provar que não era um robô, o utilizador era instruído a copiar um suposto "token" e a colá-lo na Linha de Comandos do Windows.
Este método, conhecido como ataque ClickFix, é particularmente perigoso porque leva o próprio utilizador a executar o código malicioso. O que a vítima pensava ser um token inofensivo era, na realidade, um comando PowerShell que descarregava e executava o primeiro passo do ataque.
Do reconhecimento ao controlo total com um RAT
Uma vez executado o comando, era descarregado um primeiro payload: uma ferramenta de reconhecimento. Este utilitário recolhia dados do sistema, como o nome do computador, informações de domínio, nome de utilizador e UUID do sistema, enviando tudo para um servidor de comando e controlo (C2).
O payload final era um RAT leve, baseado em WebSocket, capaz de executar comandos remotamente e exfiltrar dados do sistema infetado através de comandos JSON codificados em base64. Essencialmente, os hackers obtinham controlo sobre o dispositivo da vítima.
Ligações à Rússia e a outros ataques
Embora a SentinelLABS não faça uma atribuição definitiva, os investigadores salientam que o RAT estava alojado em infraestrutura russa. Além disso, a campanha foi associada a uma operação subsequente que visou utilizadores em Lviv, na Ucrânia, com ficheiros APK para Android disfarçados de conteúdo para adultos, que funcionavam como spyware para roubar dados de localização, chamadas e contactos.
A reforçar a suspeita, um relatório do Google Threat Intelligence Group (GTIG) descreveu um desafio CAPTCHA malicioso muito semelhante, utilizado em ataques atribuídos ao ColdRiver (também conhecido como Star Blizzard), um grupo associado ao serviço de inteligência russo (FSB). Este tipo de ataque demonstra a contínua evolução das táticas de ciberespionagem, utilizando elementos familiares da web para enganar até os utilizadores mais atentos.
Nenhum comentário
Seja o primeiro!