骗子用污染的DDOS工具瞄准乌克兰IT军队

最后更新 :2022.03.11

威胁演员正在将密码窃取恶意软件伪装成作为目标乌克兰IT军队的安全工具。

思科Talos研究人员已经发现了一个针对乌克兰IT军队的恶意软件运动,威胁演员正在使用infosteAler恶意软件模仿一个名为“解放者”的DDOS工具。解放工具在使用它以瞄准俄罗斯宣传网站的Pro-Ukraina黑客之间流通。

在俄罗斯开始侵入乌克兰之后,乌克兰数字转型部长Mykhaylo Fedorov呼吁采取俄罗斯试图创造一个“IT军队”组成的志愿者组成,为俄罗斯推出巨大的攻势。电报频道用于协调努力,并计划将由IT军队进行的网络攻击。

机会主义的网络犯罪分子正在试图通过提供狂欢者来利用乌克兰的同情者来实现俄罗斯的攻击性网络工具实体。下载后,这些文件感染了不安的用户,而不是提供最初宣传的工具。读取Talos发布的分析。在一个这样的例子中,我们观察了一个威胁演员,提供了用于针对俄罗斯网站的电报上的分布式拒绝服务(DDOS)工具。下载的文件实际上是一种信息偷窃师,它用旨在转储凭据和加密货币相关信息的恶意软件感染不知名的受害者。

现在禁止的解放工具在电报上进行了通告,原始版本的工具开发一个名为Disbalancer的团体。解放者被宣传为DDOS工具,以推动针对俄罗斯宣传网站的攻击。

活动使用丢弃物伪装为分拆剂。exe工具与Windows可执行文件的AsProtect Packer保护。

一旦恶意软件丢弃在受害者的系统上,它执行反调试检查,然后遵循进程注入步骤以在内存中加载Phoenix信息偷窃师。DDoS tool IT Army Ukraine如果研究人员尝试要调试恶意软件执行,它将面对一般错误。在执行反调试检查后,恶意软件将启动Regsvcs.exe,该regsvcs.exe与.NET Framework一起包含。在这种情况下,Regsvcs.exe未被用作土地二元(Lolbin)的生活。它注入了恶意代码,由凤凰信息窃贼组成。继续报告。
对IT军队攻击中采用的变体能够窃取广泛的数据,包括Web浏览器数据,VPN工具,Discord,Steam和加密货币钱包。收集的数据被发送到端口6666上的远程IP地址(95 [。] 46 [。] 46)。
Talos eXperts认为这是一个机会主义的运动,同样的IP地址是自11月2021年11月以来分发了凤凰。也不例外。在这种情况下,我们发现一些以塞蹄设备分配的网络犯罪分子,但它可能像一个更复杂的国家赞助的演员或私人群体代表国家 - 州做的那样容易。结束了报告。我们提醒用户谨慎,旨在安装起源未知的软件,特别是在互联网上被丢弃到随机聊天室的软件。

- END -

看更多