Un account di posta elettronica compromesso del Ministero della Difesa ucraino è stato scoperto mentre inviava e-mail di phishing e messaggi istantanei agli utenti del programma di consapevolezza situazionale “DELTA” per infettare i sistemi con un malware che ruba le informazioni. La campagna è stata evidenziata oggi in un rapporto del CERT-UA (Computer Emergency Response Team of Ukraine), che ha avvertito il personale militare ucraino dell’attacco malware. DELTA è un sistema di raccolta e gestione delle informazioni creato dall’Ucraina con l’aiuto dei suoi alleati per aiutare i militari a tracciare i movimenti delle forze nemiche. Il sistema fornisce informazioni complete in tempo reale con un’integrazione di alto livello da più fonti su una mappa digitale che può essere eseguita su qualsiasi dispositivo elettronico, da un laptop a uno smartphone. I certificati digitali vengono utilizzati per firmare il codice del software e autenticare i server, comunicando ai prodotti di sicurezza in esecuzione sul sistema operativo che l’applicazione non è stata manomessa e che l’operatore del server è chi dichiara di essere.
Processo di infezione
Nell’ambito di questa campagna, gli attori delle minacce hanno utilizzato e-mail o messaggi istantanei con falsi avvertimenti sulla necessità per gli utenti di aggiornare i certificati “Delta” per continuare a utilizzare il sistema in modo sicuro. L’e-mail dannosa contiene un documento PDF con presunte istruzioni per l’installazione dei certificati, che include link per scaricare un archivio ZIP denominato “certificates_rootCA.zip”. L’archivio contiene un eseguibile con firma digitale denominato “certificates_rootCA.exe” che, all’avvio, crea diversi file DLL sul sistema della vittima e lancia “ais.exe”, che simula il processo di installazione del certificato. Questo passaggio convince la vittima che il processo è legittimo e riduce le possibilità che si accorga di essere stata violata. Sia i file EXE che le DLL sono protetti da VMProtect, un software legittimo utilizzato per avvolgere i file in macchine virtualizzate autonome, crittografarne il contenuto e rendere impossibile l’analisi o il rilevamento AV. Le DLL eliminate, “FileInfo.dll” e “procsys.dll”, sono malware, identificati dal CERT-UA come ‘FateGrab’ e ‘StealDeal’.
FateGrab è un ruba-file FTP che prende di mira documenti ed e-mail dei seguenti formati di file: ‘.txt’, ‘.rtf’, ‘.xls’, ‘.xlsx’, ‘.ods’, ‘.cmd’, ‘.pdf’, ‘.vbs’, ‘.ps1’, ‘.one’, ‘.kdb’, ‘.kdbx’, ‘.doc’, ‘.docx’, ‘.odt’, ‘.eml’, ‘.msg’, ‘.email’. StealDeal è un malware ruba-informazioni che può, tra le altre cose, rubare i dati di navigazione in Internet e le password memorizzate nel browser web.
