A ESET descobriu uma nova vaga de ataques dirigida a empresas de distribuição eléctrica na Ucrânia. No final de Dezembro de 2015, os ciberataques conseguiram causar uma interrupção massiva no serviço de electricidade em várias regiões da Ucrânia. Agora os ataques voltaram, mas o malware utilizado não é o infame BlackEnergy.
O perfil do ataque não sofreu grandes alterações desde a primeira vaga. Os atacantes enviam e-mails spearphishing a potenciais vítimas com um ficheiro XLS malicioso em anexo. O e-mail contém conteúdo HTML ligado a um ficheiro PNG que está localizado num servidor remoto de modo a que os atacantes recebam uma notificação de que o e-mail foi entregue e aberto pelo destinatário.
Este backdoor é capaz de descarregar executáveis e executar comandos shell. Outras funcionalidades incluem a possibilidade de capturas de ecrã, registo das teclas utilizadas ou upload de ficheiros. Este backdoor é controlado pelos atacantes através de uma conta Gmail, tornando difícil a sua detecção numa rede.
O ficheiro XLS malicioso utiliza macros e é similar a todos aqueles que foram observados nestas vagas de ataques. Executar a macro leva depois ao lançamento de um downloader malicioso que tenta descarregar e executar o payload final a partir de um servidor remoto.
Via ESET.