A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) alertou sobre um novo ataque de phishing destinado a infectar dispositivos com malware.
Diz-se que a tarefa foi criada por um conjunto de ameaças que a seguem como UAC-0020, também conhecido como Vermin. A escala e o escopo exatos do ataque são atualmente desconhecidos.
As cadeias de ataques começaram com mensagens de phishing contendo imagens de supostos prisioneiros de guerra (PoWs) da região de Kursk, instando os destinatários a clicarem em um link para um arquivo ZIP.
O arquivo ZIP contém um arquivo Microsoft Compiled HTML Help (CHM) que incorpora o código JavaScript responsável por exibir o script PowerShell descompactado.
“Abrir o arquivo instala componentes do conhecido spyware SPECTR, bem como um novo malware chamado FIRMACHAGENT”, disse o CERT-UA. “A missão do FIRMACHAGENT é recuperar dados roubados pelo SPECTR e enviá-los para um servidor de gerenciamento remoto.”
SPECTR é um malware vinculado ao Vermin desde 2019. O grupo está a ser investigado por ligações às agências de segurança da República Popular de Luhansk (LPR).
No início de junho, o CERT-UA detalhou outra campanha organizada por jogadores do Vermin, chamada SickSync, que tinha como alvo as forças de segurança do país com o SPECTR.
SPECTR é uma ferramenta completa projetada para coletar uma ampla gama de informações, incluindo arquivos, capturas de tela, informações e dados de vários aplicativos de mensagens instantâneas, como Element, Signal, Skype e Telegram.
