Google alerta sobre 3 novas ameaças cibernética criada por hackers russos

O Grupo de Inteligência de Ameaças do Google (GTIG) identificou uma nova e acelerada onda de desenvolvimento de malwares atribuída ao COLDRIVER — um grupo de hackers associado ao governo russo. A descoberta foi detalhada em uma publicação feita nesta segunda-feira (20), revelando o surgimento de três novas ameaças cibernéticas: NOROBOT, YESROBOT e MAYBEROBOT.

De acordo com o Google, a nova família de malwares passou por “múltiplas iterações” desde maio deste ano, o que demonstra um ritmo acelerado de evolução e operação por parte do COLDRIVER. As variantes descobertas compartilham uma cadeia de distribuição interligada, sugerindo um esforço coordenado de aprimoramento técnico e escalabilidade.

Tradicionalmente conhecido por empregar ataques de phishing para comprometer alvos e roubar dados sensíveis, o COLDRIVER parece agora expandir seu escopo. “Está claro que eles investiram esforços significativos em seu desenvolvimento para reequipar e implantar seu malware em alvos específicos”, afirmou o GTIG. 

O grupo acredita que os novos malwares sejam usados para infectar vítimas previamente comprometidas, cujos dados e contatos foram extraídos em campanhas anteriores.

O COLDRIVER — também identificado pelos nomes UNC4057, Star Blizzard e Callisto — é patrocinado pelo Estado russo e costuma mirar indivíduos de alto perfil, como consultores políticos, dissidentes e integrantes de ONGs. O avanço observado nos últimos meses coincide com a descoberta do malware LOSTKEYS, revelado em maio, o que reforça a hipótese de uma nova fase de atuação do grupo.

Como acontece a infecção?

A infecção ocorre a partir de um anúncio falso chamado ClickFix, disfarçado sob o nome COLDCOPY. Ao clicar no aviso, o usuário inicia o download do malware NOROBOT, executado por meio do processo legítimo rundll32.exe. Esse arquivo, por sua vez, aciona o próximo estágio da cadeia de ataque.

Em versões iniciais, o NOROBOT distribuía o backdoor YESROBOT. Nas iterações mais recentes, no entanto, o COLDRIVER substituiu o payload pelo MAYBEROBOT — uma versão mais avançada e versátil, capaz de baixar cargas a partir de URLs específicos, executar comandos via CMD e rodar códigos diretamente no PowerShell.

Os malwares NOROBOT e MAYBEROBOT também são monitorados pela empresa de cibersegurança Zscaler ThreatLabz, mas com os nomes BAITSWITCH e SIMPLESFIX, respectivamente.

Google alertou vítimas sobre a atividade irregular

O Google segue monitorando a evolução da família de malwares, destacando a rapidez com que o COLDRIVER adaptou e expandiu suas ferramentas ofensivas em poucos meses.

Como medida de contenção, todas as páginas, os domínios e os arquivos maliciosos encontrados durante a investigação foram adicionados à lista de restrição do Safe Browsing. Alvos antigos e potenciais vítimas também foram alertados.

Fonte: https://www.tecmundo.com.br/seguranca/407953-google-alerta-sobre-3-novas-ameacas-cibernetica-criada-por-hackers-russos.htm