CERT-UA warnt vor neuen Phishing-Angriffen mit Proof-of-Work-Ködern
Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt vor neuen Phishing-Angriffen, die darauf abzielen, Geräte mit Malware zu infizieren. Diese Angriffe werden einer Bedrohungsgruppe zugeordnet, die als UAC-0020 oder Vermin bekannt ist. Der genaue Umfang und die Reichweite der Angriffe sind derzeit noch unbekannt.
Die Angriffe beginnen mit Phishing-Nachrichten, die Fotos angeblicher Kriegsgefangener aus der Region Kursk enthalten und die Empfänger dazu auffordern, auf einen Link zu klicken, der zu einer ZIP-Datei führt. In der ZIP-Datei befindet sich eine Microsoft Compiled HTML Help (CHM)-Datei, die JavaScript-Code enthält. Dieser Code startet ein verschleiertes PowerShell-Skript.
„Das Öffnen der Datei installiert Komponenten der populären Spyware SPECTR sowie die neue Malware FIRMACHAGENT“, erklärte CERT-UA. „FIRMACHAGENT hat den Zweck, die von SPECTR gestohlenen Daten abzurufen und an einen entfernten Verwaltungsserver zu senden.“
SPECTR ist eine weithin bekannte Malware der seit 2019 aktiven Gruppe Vermin. Diese Gruppe wird mit den Sicherheitsbehörden der Luhansker Volksrepublik (LPR) in Verbindung gebracht.
Im Juni dieses Jahres beschrieb CERT-UA eine weitere Kampagne der Vermin-Akteure, die SickSync genannt wird und bei der SPECTR eingesetzt wurde, um die Verteidigungskräfte des Landes zu attackieren.
SPECTR ist ein leistungsfähiges Tool, das darauf ausgelegt ist, eine Vielzahl von Informationen zu sammeln, darunter Dateien, Screenshots, Anmeldeinformationen und Daten aus verschiedenen Instant-Messaging-Apps wie Element, Signal, Skype und Telegram.