0
0
O operador com sede na Bielorrússia de uma campanha de desinformação organizada e contínua na Europa chamada “Ghostwriter” está usando uma nova técnica de phishing difícil de detectar para atingir organizações na Ucrânia poucos dias depois que um pesquisador destacou o método em um post no blog.
O método, apelidado de navegador no navegador, basicamente envolve o ator de ameaças desenhando uma janela do navegador dentro de um navegador para se passar por toda a janela de login pop-up — incluindo URL — de um domínio legítimo. Os usuários são enganados a inserir detalhes de login quando aterrissam nessas janelas de login de conta falsificadas porque a URL parece legítima.
Pesquisadores do Grupo de Análise de Ameaças (TAG) do Google destacaram o uso da nova tática pelo Ghostwriter em uma atualização esta semana sobre atividades maliciosas recentes que observou de vários atores de ameaças que estão relacionados à guerra na Ucrânia ou estão usando-a como uma isca.
Em um post no blog, um pesquisador da TAG disse que o grupo havia observado o operador do Ghostwriter nos últimos dias combinar o uso da tática do navegador no navegador com um truque anterior que ele usou de hospedar páginas de phishing em sites comprometidos. O pesquisador descreveu a tática do navegador no navegador como algo que o grupo havia observado apenas vários atores apoiados pelo governo silenciosamente usando em campanhas de phishing.
O uso da nova técnica de phishing do navegador do operador Ghostwriter destaca uma dinâmica de ameaças que não é frequentemente discutida, diz Casey Ellis, fundador e CTO da Bugcrowd. “O aumento do escrutínio das táticas dos atacantes e o subsequente compartilhamento dessas táticas ampliam o público potencial para essas técnicas”, diz ele.
Avisos da Ucrânia
A atualização do Google sobre ghostwriter segue avisos recentes de outros, incluindo a Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) e fornecedores como Mandiant, sobre os ataques generalizados de phishing de credenciais do grupo de ameaças contra militares ucranianos e outros indivíduos nos dias que antecederam e durante a guerra.
A campanha Ghostwriter é uma das várias ligadas à Ucrânia que o Google vem rastreando nas últimas semanas. De acordo com a TAG, atores de ameaça apoiados pelo Estado-nação do Irã, China, Coreia do Norte e Rússia e vários outros grupos criminosos e com motivação financeira estão todos usando temas relacionados à guerra da Ucrânia em campanhas de phishing, tentativas de extorsão online e outras atividades maliciosas.
Muitos dos ataques têm como alvo organizações na Ucrânia. Mas outros afetaram organizações não-governamentais dos EUA (ONGs) e entidades governamentais e militares em vários outros países também. Entre eles está uma campanha de um “Desfiladeiro Curioso”, um grupo de ameaças que acredita-se ter laços com a força estratégica de apoio do Exército Popular de Libertação da China. De acordo com o Google, nas últimas duas semanas observou o ator ameaçado conduzindo campanhas cibernéticas maliciosas contra organizações militares e governamentais na Rússia, Ucrânia, Mongólia e Cazaquistão.
Outro exemplo é “Coldriver”, também conhecido como Calisto, um grupo de ameaças com sede na Rússia que o Google disse ter lançado recentemente uma campanha de phishing credencial visando vários think tanks baseados nos EUA, ONGs, um empreiteiro de defesa com sede na Ucrânia, e os militares de uma nação dos Balcãs,
A última atualização do Google TAG é a segunda deste mês sobre a atividade de ameaças cibernéticas relacionadas à Ucrânia. Em 7 de março, a TAG emitiu um alerta sobre novas campanhas de espionagem cibernética e phishing que havia observado de grupos como o APT28/FancyBear da Rússia, o UNC1151/Ghostwriter da Bielorrússia e o Mustang Panda da China.
“O conflito Rússia-Ucrânia cria um cenário de incerteza, desinformação e atividades geralmente problemáticas da Internet”, fornecendo ampla cobertura para atividades maliciosas, diz Ellis. “Isso, por sua vez, encoraja uma variedade de potenciais atores de ameaça, que vão de estados-nação a indivíduos curiosos.”
FONTE: DARK READING