Grupo de hackers usa e-mails e perfis falsos para enviar malware, diz pesquisa

Campanhas visam coleta de credenciais e disseminação de malware com iscas baseadas em eventos políticos recentes; objetivo é obter inteligência estratégica sobre o conflito com a Rússia

Compartilhar:

O levantamento da Proofpoint mostrou que o grupo de hackers TA406 começou a atacar entidades governamentais na Ucrânia, realizando tanto coleta de credenciais quanto malware em suas campanhas de phishing. O objetivo dessas campanhas é coletar informações sobre a trajetória da invasão russa, segundo a pesquisa.

 

De acordo com a análise, o TA406 é um agente malicioso patrocinado pelo Estado da República Popular Democrática da Coreia, que se sobrepõe a atividades monitoradas publicamente por terceiros, como grupos de espionagem cibernética. O interesse do grupo na Ucrânia, segundo os pesquisadores, segue o histórico de ataques a entidades governamentais na Rússia para fins de coleta de inteligência estratégica.

 

A organização avaliou que o agente está mirando entidades governamentais ucranianas para entender melhor o interesse em continuar lutando contra a invasão russa e avaliar as perspectivas de médio prazo do conflito.

 

O malware depende de remetentes de e-mail gratuitos que falsificam membros de think tanks, que produzem pesquisas, análises e recomendações sobre políticas públicas e questões sociais e econômicas, para convencer o alvo a se envolver com o e-mail de phishing. A pesquisa mostrou que o conteúdo da isca é fortemente baseado em eventos recentes na política interna ucraniana.

 

Os especialistas apontaram que desde 2019, o TA406 tem demonstrado preferência por arquivos HTML e CHM para executar o PowerShell (solução de automação de tarefas) incorporado nos estágios iniciais das campanhas de implantação de malware. Os e-mails de isca observados em uma campanha do TA406, em fevereiro de 2025, personificam um pesquisador sênior fictício de um think tank chamado “Royal Institute of Strategic Studies”, que também é uma organização fictícia.

 

Na prática, o e-mail contém um link para um serviço de hospedagem de arquivos chamado MEGA, que baixa um arquivo RAR  protegido por senha. Se o arquivo for descriptografado e executado, ele inicia uma cadeia de infecção usando o PowerShell para conduzir um reconhecimento extensivo no host alvo. Os pesquisadores analisaram que o  agente enviou vários e-mails de phishing em dias consecutivos, quando o alvo não clicou no link, foi pergunta ao alvo se ele havia recebido os e-mails anteriores e se ele baixaria os arquivos.

 

Antes das campanhas de distribuição de malware do TA406, a Proofpoint também observou uma tentativa do TA406 de coletar credenciais enviando mensagens falsas de alerta de segurança da Microsoft para entidades governamentais ucranianas a partir de contas do Proton Mail. As mensagens alegam que a conta do alvo teve atividade de login incomum a partir de vários endereços IP e solicitam que o alvo verifique a tentativa de login por meio de um link para o domínio comprometido jetmf[.]com.

 

Uma página de coleta de credenciais não pôde ser recuperada no momento da análise. No entanto, o mesmo domínio comprometido já havia sido usado anteriormente para coleta de credenciais do Naver (portal de internet e motor de busca sul-coreano), o que se alinha com a atividade histórica do TA406, embora a atribuição de alta confiabilidade ao TA406 não tenha sido confirmada. Essas campanhas de coleta de credenciais ocorreram antes das tentativas de implantação do malware e tiveram como alvo alguns dos mesmos usuários posteriormente visados pela campanha de entrega de HTML.

 

 

Conteúdos Relacionados

Security Report | Overview

Nova onda de ciberataques revela avanço da engenharia social, alerta pesquisa

Estudo aponta a nova técnica de phishing, denominada FileFix, já é usada em campanhas reais e permite execução de malwares...
Security Report | Overview

48% dos líderes do setor de ciências da vida utilizam IA para Cibersegurança, afirma estudo

Security Report | Overview

Atuação do grupo de cibercriminosos persiste apesar de operação internacional, alerta pesquisa

Alerta de especialistas afirmam que grupo de cibercriminosos ainda está ativo apesar da operação internacional de busca dos envolvidos
Security Report | Overview

Mais de 12 milhões de smartphones foram alvo de ciberataques, aponta estudo

Entre janeiro e março deste ano, foi registrado um crescimento de 27% em arquivos maliciosos detectados, em comparação com o...