Pessoas ligadas aos esforços de ajuda aos refugiados da invasão russa da Ucrânia, estão a ser alvo de uma campanha de phishing para a distribuição de malware, que, de acordo com alguns especialistas, está a ser apoiada por um governo.
Segundo a Proofpoint, este ataque utilizou uma conta de email pessoal de um membro das forças armadas da Ucrânia para enviar emails de phishing a membros de instituições europeias de gestão do transporte de refugiados ucranianos que fogem da invasão russa.
Aparentemente, o objectivo destes ataques é o de obter informações de dentro de países que pertencem à NATO. Especialistas em segurança informática suspeitam que esta campanha de phishing está a ser levada a cabo por um grupo denominado TA445, que faz parte de uma organização maior, chamada UNC1151, que foi ligada ao governo da Bielorrússia.
Os primeiros emails de phishing foram detectados a 24 de Fevereiro, vindos de um endereço de email da Ucrânia, com destino a um governo europeu que não foi identificado. O assunto dos emails menciona a emergência na Ucrânia e inclui um ficheiro de Excel, chamado “list of persons”, que contém macros maliciosas. Se a execução de macros do Excel estiver ligada, o documento descarrega e instala malware.
O malware em questão chama-se SunSeed, e aparentemente é um downloader que foi desenhado para descarregar e instalar malware adicional. Pensa-se que o objectivo destes ataques é o de monitorizar indivíduos com responsabilidades de alocação de fundos, transportes, administração e de controlo do movimento de populações dentro da Europa. O objectivo será o de recolher informação acerca dos movimentos de fundos, materiais e pessoas.
Os especialistas de segurança notam que o TA445, tem um histórico de campanhas de desinformação para gerar sentimentos anti-refugiados e se esta campanha tiver sido feita pelo grupo, a informação roubada pode ser usada para os mesmos fins.
A análise da Proofpoint a esta campanha de phishing contra organizações de ajuda a refugiados, vem na sequência de um aviso do Computer Emergency Response Team for Ukraine (CERT-UA), que estão a ser feitas várias campanhas phishing contra alvos na Ucrânia. Algumas com origem na Bielorrússia. Acredita-se que as campanhas contra governos europeus vão continuar enquanto a campanha militar continuar a forçar pessoas a deslocarem-se.
Estão em curso várias outras campanhas de phishing relacionadas com a invasão da Ucrânia pela Rússia que tem o objectivo de infectar sistemas com malware, roubar credenciais, informações financeiras e outros dados sensíveis. A Microsoft detectou várias campanhas deste tipo. A Ucrânia foi alvo de vários ciberataques e campanhas de malware antes da invasão pela Rússia, que tiveram como alvos as redes dos ministérios e outras organizações.
