Lufta në terren është (për fat të keq) ende në vazhdim pas gati shtatë muajsh, por lufta kibernetike kundër qeverisë ukrainase gjithashtu vazhdon. Ekspertët e Cisco Talos kanë zbuluar një fushatë të re phishing të nisur nga grupi rus kibernetik Gamaredon me qëllim vjedhjen e informacionit të ndjeshëm. Është pjesë e një operacioni të madh spiunazhi që filloi në gusht.
Phishing dhe info-stealer kundër Ukrainës
Zinxhiri i infeksionit fillon me dokumentet e Office-it të shpërndara përmes emailit (spear phishing). Kur hapet dokumenti, ekzekutohet një makro VBS e cila shkarkon një arkiv RAR, brenda të cilit ka vetëm një skedar LNK. Duke klikuar në skedar shkarkohet një skrip PowerShell që mbledh informacione të ndryshme rreth kompjuterit të viktimës, i cili më pas dërgohet në serverin e largët.
Më pas instalohet një vjedhës informacioni i familjes Giddome, i cili skanon të gjitha pajisjet e ruajtjes të lidhura me rrjetin dhe drejtoritë e shumta për skedarë specifikë (.doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg , .pdf, .ps1, .rar, .zip, .7z dhe .mdb). Malware krijon një kopje të skedarëve në drejtorinë TEMP dhe i dërgon ato te serveri i komandës dhe kontrollit (C2). Më në fund, një çelës shtohet në regjistrin e Windows për të arritur qëndrueshmëri (fillimi automatik).
Malware, si dhe dokumenti i Office dhe skedari RAR, mund të zbulohen dhe bllokohen nga shumica e antiviruseve në treg.
Discussion about this post