Segundo a Computer Emergency Response Team of Ukraine, uma campanha de phishing bielorrussa mira em militares da Ucrânia.
A Computer Emergency Response Team of Ukraine (Equipe de Resposta a Emergências de Computadores da Ucrânia, CERT-UA) alertou recentemente sobre uma campanha de spearphishing visando contas de e-mail privadas pertencentes ao pessoal das forças armadas ucranianas.
Campanha de phishing bielorrussa mira em militares da Ucrânia
As contas comprometidas nesses ataques são usadas para enviar mensagens de phishing adicionais aos contatos nos catálogos de endereços das vítimas.
Os e-mails de phishing estão sendo enviados de dois domínios (i[.]ua-passport[.]space e id[.]bigmir[.]space), o primeiro tentando se passar pelo portal de Internet gratuito i.ua que fornece serviços de e-mail para ucranianos desde 2008.
“E-mails de phishing em massa foram observados recentemente visando contas privadas ‘i.ua’ e ‘meta.ua’ de militares ucranianos e indivíduos relacionados”, disse o CERT-UA hoje cedo.
“Depois que a conta é comprometida, os invasores, pelo protocolo IMAP, obtêm acesso a todas as mensagens. Mais tarde, os invasores usam os detalhes de contato do catálogo de endereços da vítima para enviar os e-mails de phishing.”
Os e-mails solicitam que os alvos cliquem em um link incorporado para verificar suas informações de contato e evitar que suas contas de e-mail sejam suspensas permanentemente.
O relatório do CERT-UA atribui essa campanha de phishing em andamento ao grupo de ameaças UNC1151, vinculado por pesquisadores da Mandiant com alta confiança em novembro de 2021 ao governo da Bielorrússia.
A Mandiant também encontrou evidências que apoiam uma ligação entre os operadores UNC1151 e os militares da Bielorrússia, confirmando a avaliação do CERT-UA de que os atacantes são na verdade ciberespiões militares e oficiais do Ministério da Defesa da Bielorrússia.
“O grupo com sede em Minsk ‘UNC1151’ está por trás dessas atividades. Seus membros são oficiais do Ministério da Defesa da República da Bielorrússia”, acrescentou o CERT-UA.
Agora, o State Service of Special Communications and Information Protection of Ukraine (Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia SSSCIP) também alertou os cidadãos ucranianos sobre outra campanha de phishing ativa direcionada a eles com documentos maliciosos.
“As forças inimigas pretendem obter acesso aos dispositivos eletrônicos dos ucranianos para coletar uma grande quantidade de informações”, disse o SSSCIP.
Um alerta separado emitido pela empresa eslovaca de segurança na Internet ESET diz que os cibercriminosos também estão se passando por organizações humanitárias na tentativa de enganar aqueles que desejam doar para organizações focadas em ajudar a Ucrânia durante a guerra em curso iniciada pela invasão da Rússia na manhã de quinta-feira.
Esses desenvolvimentos vêm logo após os ataques de limpeza de dados contra redes ucranianas, usando o malware HermeticWiper e iscas de ransomware para destruir dados nos dispositivos dos alvos e torná-los não inicializáveis.
Como Vikram Thakur, diretor técnico da Symantec Threat Intelligence, disse ao site BleepingComputer, os alvos que foram atingidos nos ataques de limpeza desta semana também incluíram empresas financeiras e governamentais da Letônia e da Lituânia.
Esta foi a segunda vez desde o início do ano que organizações ucranianas foram atingidas por limpadores de dados depois que o malware destrutivo WhisperGate foi implantado em ataques direcionados à Ucrânia disfarçados de ransomware em janeiro.
Os ataques DDoS e malware de fevereiro que atingiram as redes ucranianas se alinham com o Serviço de Segurança (SSU) da Ucrânia, dizendo há pouco mais de uma semana que o país está sendo alvo de uma “onda massiva de guerra híbrida”.