Um grupo de piratas informáticos, suspeito de colaborar com o governo russo, lançou uma nova campanha contra utilizadores de dispositivos da Apple na Ucrânia. Através de um conjunto de ferramentas maliciosas apelidado de Darksword, os atacantes procuram extrair informações pessoais e carteiras de criptomoedas das vítimas, segundo os detalhes avançados pela TechCrunch.
A descoberta desta ameaça foi o resultado de uma análise conjunta entre investigadores da Google, da iVerify e da Lookout. O grupo responsável, identificado como UNC6353, utilizou sites ucranianos comprometidos para infetar os visitantes locais, evidenciando uma abordagem direcionada que levanta o alerta sobre a disseminação de software espião altamente avançado no mercado paralelo.
Operações de roubo rápido e sem rasto
O Darksword destaca-se pela sua rapidez e foco. Ao contrário de outros malwares desenhados para uma vigilância contínua, esta ferramenta foi construída para um ataque relâmpago. O tempo de permanência no equipamento da vítima ronda apenas alguns minutos, sendo o suficiente para recolher dados essenciais como palavras-passe, fotografias, histórico de navegação e mensagens de plataformas como o WhatsApp e o Telegram. Após a extração das informações, o código desaparece do sistema.
Além da informação pessoal, o programa tem a capacidade de desviar criptomoedas a partir de carteiras digitais instaladas nos telemóveis. Rocky Cole, cofundador da iVerify, esclareceu que não existem provas concretas de que os atacantes russos quisessem efetivamente roubar os ativos digitais, mas a infraestrutura permitia essa ação. Isto sugere um interesse em avaliar o estilo de vida das vítimas ou a possibilidade de o grupo cruzar objetivos táticos com motivações de ganho financeiro.
O elo entre ferramentas de espionagem
Esta campanha surge pouco depois de a mesma investigação ter exposto o Coruna, outro poderoso sistema de ataque destinado a equipamentos iOS. Desenvolvido inicialmente por uma divisão de defesa norte-americana para governos ocidentais, o Coruna acabou por ser utilizado por espiões russos e cibercriminosos chineses. As semelhanças técnicas indicam que o grupo UNC6353 é o mesmo que operou o Coruna contra alvos ucranianos, existindo a possibilidade de ambas as ferramentas terem sido vendidas pelo mesmo fornecedor.
A arquitetura modular do Darksword demonstra um nível de desenvolvimento profissional, permitindo aos atacantes adicionar novas funcionalidades com grande facilidade. De acordo com os investigadores da Lookout, o foco principal é a recolha de inteligência de forma massiva, num ataque desenhado para infetar qualquer pessoa que visitasse as páginas web visadas a partir de território ucraniano.
Nenhum comentário
Seja o primeiro!