El malware disfrazado de herramienta de seguridad apunta al ejército de TI de Ucrania

Una nueva campaña de malware se está aprovechando de la voluntad de la gente de apoyar la guerra cibernética de Ucrania contra Rusia para infectarlos con troyanos que roban contraseñas.

El mes pasado, el gobierno ucraniano anunció un nuevo Ejército de TI compuesto por voluntarios de todo el mundo que realizan ciberataques y ataques DDoS contra entidades rusas.

Esta iniciativa ha generado un gran apoyo por parte de muchas personas en todo el mundo que han estado ayudando a atacar organizaciones y sitios rusos , incluso si esa actividad se considera ilegal.

Imitando una herramienta DDoS real

Como es común con los distribuidores de malware, los actores de amenazas se están aprovechando de los eventos actuales, como el Ejército de TI, para promover una herramienta DDoS falsa en Telegram que instala una contraseña y un troyano que roba información.

En un nuevo informe de Cisco Talos , los investigadores advierten que los actores de amenazas están imitando una herramienta DDoS llamada “Liberator”, que es un bombardero de sitios web para usar contra los medios de propaganda rusos.

Si bien las versiones descargadas del sitio real son “limpias” y probablemente ilegales de usar, las que circulan en Telegram ocultan las cargas útiles de malware y no hay forma de notar la diferencia antes de ejecutarlas, ya que ninguna está firmada digitalmente.

Las publicaciones de Telegram afirman que la herramienta obtiene una lista de objetivos rusos para atacar desde un servidor, por lo que el usuario no necesita hacer mucho más que ejecutarla en su máquina. 

Es probable que esta facilidad de uso atraiga a los seguidores de Ucrania que no son muy técnicos y no saben cómo realizar sus propios ataques para “bombardear” los sitios rusos.

el ladrón de información

El malware que cae en los sistemas de las víctimas realiza comprobaciones anti-depuración antes de ejecutarse y luego sigue un paso de inyección de proceso para cargar el ladrón de información de Phoenix en la memoria.

Phoenix se vio por primera vez en el verano de 2019, se vendió en la clandestinidad del cibercrimen como MaaS (malware como servicio) por $ 15 / mes u $ 80 por una suscripción de por vida.

El ladrón de información en particular puede recopilar datos de navegadores web, herramientas VPN, Discord, ubicaciones de sistemas de archivos y billeteras de criptomonedas, y enviarlos a una dirección remota, en este caso, una IP rusa.

Los investigadores de Talos descubrieron que esta IP en particular ha estado distribuyendo Phoenix desde noviembre de 2021. Por lo tanto, el cambio de tema reciente indica que esta campaña es solo un intento oportunista de explotar la guerra en Ucrania para obtener ganancias financieras.

No participes en ciberataques

Es comprensible que muchas personas se sientan abrumadas por un sentimiento que las motiva a actuar contra invasiones militares a gran escala no provocadas, pero participar en ataques cibernéticos siempre es una mala idea.

Incluso cuando estas acciones parecen estar patrocinadas por el gobierno ucraniano, que cuenta con el apoyo de la comunidad internacional agregada, no legaliza su uso.

Los usuarios que participen en ataques DDoS, desfiguración o violación de la red aún corren el riesgo de encontrar problemas con las agencias de aplicación de la ley de su país.

Esta campaña de distribución de malware es una razón más por la que debes evitar participar en este tipo de operaciones, ya que al final solo te pondrás en riesgo.

Fuente: bleepingcomputer