Se ha observado una supuesta operación de espionaje e influencia híbrida rusa que ofrece una combinación de malware para Windows y Android para atacar al ejército ucraniano bajo la personalidad de Telegram Defensa Civil.
El Grupo de Análisis de Amenazas de Google (TAG) y Mandiant están rastreando la actividad bajo el nombre UNC5812. El grupo de amenazas, que opera un canal de Telegram llamado civildefense_com_en, fue creado el 10 de septiembre de 2024. Al momento de escribir, el canal tiene 184 suscriptores. También mantiene un sitio web en civildefense.com[.]ua que se registró el 24 de abril de 2024.
“‘Defensa Civil’ afirma ser un proveedor de programas de software libre diseñados para permitir a los reclutas potenciales ver y compartir ubicaciones de crowdsourcing de reclutadores militares ucranianos”, la compañía dicho en un informe compartido con The Hacker News.
Si estos programas se instalan en dispositivos Android que tienen Google Play Protect deshabilitado, están diseñados para implementar un malware de productos básicos específico del sistema operativo junto con una aplicación de mapeo señuelo llamada SUNSPINNER.
también se dice que UNC5812 participa activamente en operaciones de influencia, difunde narrativas y solicita contenido destinado a socavar el apoyo a los esfuerzos de movilización y reclutamiento militar de Ucrania.
“La campaña de UNC5812 es muy característica del énfasis que Rusia pone en lograr un efecto cognitivo a través de sus capacidades cibernéticas, y destaca el papel destacado que las aplicaciones de mensajería continúan desempeñando en la entrega de malware y otras dimensiones cibernéticas de la guerra de Rusia en Ucrania”, dijo Google Threat Intelligence Group.
Civil Defense, que ha promovido su canal y sitio web de Telegram por otros canales de Telegram legítimos y establecidos en Ucrania, tiene como objetivo dirigir a las víctimas a su sitio web desde donde se descarga software malicioso según el sistema operativo.
Para los usuarios de Windows, el archivo ZIP conduce a la implementación de un cargador de malware basado en PHP recién descubierto llamado Pronsis que se utiliza para distribuir SUNSPINNER y un malware robador estándar conocido como PureStealer que se anuncia en cualquier lugar entre $150 para una suscripción mensual a $699 para una licencia de por vida.
SUNSPINNER, por su parte, muestra a los usuarios un mapa que representa las supuestas ubicaciones de los reclutas militares ucranianos desde un servidor de comando y control (C2) controlado por un actor.
Para aquellos que navegan al sitio web desde dispositivos Android, la cadena de ataque implementa un archivo APK malicioso (nombre del paquete: “com.http.masters“) que incorpora un troyano de acceso remoto denominado CraxsRAT.
El sitio web también incluye instrucciones que guían a las víctimas sobre cómo deshabilitar Google Play Protect y otorgarle todos los permisos solicitados, permitiendo que el malware funcione sin obstáculos.
CraxsRAT es un notoria familia de malware Android eso viene con capacidades para el control remoto de dispositivos y funciones avanzadas de spyware como keylogging, manipulación de gestos y grabación de cámaras, pantallas y llamadas.
Después de que el malware fue expuesto públicamente por Cyfirma a fines de agosto de 2023, EVLF, el actor de amenazas detrás del proyecto, decidió cesar la actividad, pero no antes de vender su canal de Telegram a un actor de amenazas de habla china.
A partir de mayo de 2024, se dice que EVLF tiene detuvo el desarrollo sobre el malware debido a estafadores y versiones agrietadas, pero dijeron que están trabajando en una nueva versión basada en la web a la que se puede acceder desde cualquier máquina.
“Si bien el sitio web de Defensa Civil también anuncia soporte para macOS e iPhones, solo las cargas útiles de Windows y Android estaban disponibles en el momento del análisis”, dijo Google.
“Las Preguntas Frecuentes del sitio web contienen una justificación tensa para que la aplicación de Android se aloje fuera de la App Store, lo que sugiere que es un esfuerzo para ‘proteger el anonimato y la seguridad’ de sus usuarios, y dirigirlos a un conjunto de instrucciones de video que lo acompañan.”
Fuente: thehackernews.com