Cisco Talos ha rilevato un malware in un tool per sferrare attacchi contro istituzioni russe, ma non è l’originale: si tratta di una copia compromessa condivisa in un canale Telegram non ufficiale.
Il canale ufficiale per il cyber esercito ucraino
Ricorderete sicuramente quando iniziai a parlare degli attacchi cyber in Ucraina, affrontando l’argomento su vari post anche di questo blog. Tra le varie situazioni monitorate c’è stata la creazione, da parte del governo ucraino, del canale Telegram IT Army of Ukraina, al fine di metter in piedi un esercito di cyber volontari pronti ad aiutare nell’azione di attacco contro obiettivi russi.
La presentazione ufficiale avvenne su Twitter, direttamente con il lancio effettuato da Mykhailo Fedorov, Ministro per la Transizione Digitale ucraino.
E’ importante notare che il materiale, analizzato da Cisco Talos, nel quale è stato trovato il malware camuffato da strumento utile alla guerriglia, non è stato rinvenuto in questo gruppo ufficiale di esercito cyber. Ma in un secondo canale, non ufficiale e differente rispetto a questo, con il quale però il governo ucraino non ha alcun legame e creato appositamente per generare confusione e contrattacchi, proprio come nel caso di questo malware.
Lo strumento malevolo rilevato
Il rapporto dei ricercatori di Cisco Talos indica il rilevamento di un gruppo di criminali informatici che tenta di ingannare i singoli utenti che cercano strumenti di hacking per il dispiegamento dei propri attacchi. Gli aggressori pubblicano strumenti e li pubblicizzano come modi per attaccare siti Web russi o filo-russi, diffondendo rapidamente la minaccia. Ma non sono il governo ucraino come frainteso in diverse testate online che stanno trattando l’argomento.
Lo strumento analizzato si chiama Liberator, prodotto da disBalancer, ma condiviso su Telegram compromesso con un malware infostealer che ruba dati e informazioni dalla vittima infettata e li invia direttamente sul server C&C (comando e controllo) del gruppo criminale che governa l’attacco.
Infatti l’originale è reperibile dal gruppo disBalancer, sul proprio sito ufficiale, funziona e non presenta malware. Quello che gira su Telegram o su altri repository Github terzi, presentano un hash differente, come riferisce lo studio di Cisco.
Cisco Talos segnala che tutto parte dal camuffamento di un malware identificato come Disbalancer.exe. Questo è protetto con ASProtect, un noto packager eseguibile di Windows; dopo l’installazione, il malware avvierà un controllo anti-debug ed eseguirà regsvcs.exe, che è incluso insieme al framework .NET.
In questo caso, regsvcs.exe non viene utilizzato come binario, ma viene iniettato con il codice dannoso di Phoenix, il malware per il furto di informazioni. Tra le varie azioni dannose che opera: raccogliere credenziali di accesso, indirizzi di criptovaluta e token di autenticazione.
Dove si diffonde su Telegram
La conclusione interpretativa di questo report di Cisco Talos, operata dai media specialistici online è che il tool si diffonda dal canale ufficiale governativo ucraino sopra descritto. Ma un’analisi che aggiungo personalmente a questo scenario desume che sia stato creato un ulteriore canale secondario, “di phishing” Telegram, identico all’esercito cyber ucraino (condiviso ufficialmente dallo stesso governo), che nulla ha a che fare con le azioni cyber del canale ufficiale. Il canale Telegram sopra descritto si chiama @itarmyofukraine2022, e non vi è stata condivisione di questo tool.
Il canale truffaldino, che imita l’esercito cyber ucraino è @itarmyukraine2022 e conta appena poco più di 15.000 utenti.
IoC utili per il rilevamento
Win.Trojan.Injectorx-9940207-0 – Disbalancer.exe
Win.Malware.Zusy-9812688-0 – Stealer decompresso
33e5d605c1c13a995d4a2d7cb9dca9facda4c97c1c7b41dc349cc756bfc0bd67 f297c69795af08fd930a3d181ac78df14d79e30ba8b802666605dbc66dffd994 (aggiunto il 10/03/2022)
Aggiunto il 12/03/2022: eca6a8e08b30d190a4956e417f1089bde8987aa4377ca40300eea99794d298d6 (EXE) 705380e21e1a27b7302637ae0e94ab37c906056ccbf06468e1d5ad63327123f9 (ZIP)