O grupo de cibercriminosos conhecido como Sandworm, que tem suspeitas de ligação direta com o governo da Rússia, está usando uma tática diferente para invadir sistemas na Ucrânia. A ideia do grupo é aproveitar o alto uso de versões pirateadas do Windows no país inimigo para enganar vítimas em potencial.
A nova campanha foi descoberta por analistas do EclecticIQ. De acordo com o levantamento, a Ucrânia nos últimos anos apresentou um alto índice de utilização de versões não licenciadas do sistema operacional da Microsoft, inclusive em órgãos do governo. A partir dessa informação, os invasores encontraram uma nova isca para tentar ganhar acesso ao maior número possível de PCs.
O malware em questão é o Dark Crystal RAT, um sofisticado mecanismo de espionagem que coleta informações que incluem dados sensíveis, cookies do navegador, capturas de tela e até o que é digitado pelo usuário.
Como o ataque acontece
A nova forma de invasão contra máquinas de ucranianos começa a partir de um falso programa que promete burlar o licenciamento de softwares da Microsoft, como o pacote Office de editores de conteúdo. O nome do arquivo é KMSAuto++x64_v1.8.4.zip, protegido por uma senha fornecida pelos invasores no momento do download e encontrado até em algumas redes de torrent.
Disfarçado de um “crack” para desbloquear programas legítimos e permitir o uso deles sem o pagamento de uma assinatura ou licença, o falso ativador de chaves tem uma interface que simula as opções de ativação. Na verdade, neste momento, um loader conhecido como BACKORDER já está em execução em segundo plano.
Ele é o responsável pela instalação do Dark Crystal RAT, inclusive burlando mecanismos de detecção do Windows Defender. Já em operação, o malware cria uma conexão direta com um servidor dos cibercriminosos para fazer o envio das informações coletadas.
Os dados que podem ser roubados incluem capturas de tela, o que é digitado pelo usuário, cookies e histórico de navegação, credenciais de acesso ou dados de cartões e informações do sistema, incluindo programas instalados e se ele faz parte de alguma rede interna.
Por usar um método persistente e agendado de execução, o malware é capaz de continuar funcionando sem precisar de uma nova ativação mesmo se a pessoa desligar o PC e ligá-lo mais tarde. Símbolos no código de debug e outras evidências no malware aumentam as chances de que ele seja mesmo de autoria russa.