A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou sobre novos ataques de phishing que visam infectar dispositivos com malware.
A atividade foi atribuída a um cluster de ameaças que ele rastreia como UAC-0020, que também é conhecido como Vermin. A escala e o escopo exatos dos ataques são atualmente desconhecidos.
As cadeias de ataque começam com mensagens de phishing com fotos de supostos prisioneiros de guerra (PoWs) da região de Kursk, incitando os destinatários a clicar em um hyperlink que aponta para um arquivo ZIP.
O arquivo ZIP contém um arquivo Microsoft Compiled HTML Assist (CHM) que incorpora o código JavaScript responsável por iniciar um script ofuscado do PowerShell.
“Abrir o arquivo instala componentes do adware conhecido SPECTR, assim como o novo malware chamado FIRMACHAGENT”, disse CERT-UA. “O propósito do FIRMACHAGENT é recuperar os dados roubados pelo SPECTR e enviá-los para um servidor de gerenciamento remoto.”
O SPECTR é um malware conhecido e vinculado ao Vermin desde 2019. O grupo é considerado vinculado a agências de segurança da República Well-liked de Luhansk (LPR).
No início de junho, o CERT-UA detalhou outra campanha orquestrada pelos agentes Vermin, chamada SickSync, que teve como alvo as forças de defesa do país com o SPECTR.
O SPECTR é uma ferramenta completa projetada para coletar uma ampla gama de informações, incluindo arquivos, capturas de tela, credenciais e dados de vários aplicativos de mensagens instantâneas, como Aspect, Sign, Skype e Telegram.
