Eset desvenda nova vaga de ataques sobre a indústria de energia na Ucrânia

O perfil do ataque não sofreu grandes alterações desde a primeira vaga. Os atacantes enviam emails spearphishing a potenciais vítimas com um ficheiro XLS malicioso em anexo. O email contém conteúdo HTML ligado a um ficheiro PNG que está localizado num servidor remoto de modo a que os atacantes recebam uma notificação de que o email foi entregue e aberto pelo destinatário.

“Estávamos à espera de ver o malware BlackEnergy como payload final, mas desta vez usaram um malware diferente, nomeadamente versões modificadas de uma backdoor open-source,” explica, em comunicado, Robert Lipovsky, Malware Researcher na Eset.

Esta backdoor é capaz de descarregar executáveis e executar comandos shell. Outras funcionalidades incluem a possibilidade de capturas de ecrã, registo das teclas utilizadas ou upload de ficheiros. Esta backdoor é controlada pelos atacantes através de uma conta Gmail, tornando difícil a sua deteção numa rede.

O ficheiro XLS malicioso utiliza macros e é similar a todos aqueles que foram observados nestas vagas de ataques. Utilizando engenharia social, tenta levar a vítima a ignorar o sistema integrado de segurança do Microsoft Office, para poder executar o comando macro. O texto no documento, traduzido de Ucraniano, refere “atenção, este documento foi criado com uma nova versão do Microsoft Office. São necessárias macros para se mostrar o conteúdo do documento”.

Executar a macro leva depois ao lançamento de um downloader malicioso que tenta descarregar e executar o payload final a partir de um servidor remoto.

“Não temos atualmente provas que indiquem quem está por trás destes ataques e uma tentativa de atribuição de culpa por simples dedução baseada na atual situação política pode levar-nos à resposta certa, ou não. A descoberta não nos aproxima do desvendar das origens dos ataques na Ucrânia. Pelo contrário, lembra-nos que devemos evitar tirar conclusões precipitadas,” concluiu Lipovsky.