Célkeresztben az ukrán segélymunka
A támadás e-mailekkel indult, amelyek az ukrán elnöki hivatal nevében érkeztek, és fertőzött PDF-mellékletet tartalmaztak. Ezek egy hamis Zoom-oldalra irányították az áldozatokat. Az oldalon egy automatizált böngészővizsgálat után továbbterelték őket. Külön azonosítót kaptak, amit egy WebSocket-kapcsolaton keresztül elküldtek a támadók szerverére. Ha az azonosító stimmelt, továbbléphettek egy valódi, jelszóval védett Zoom-megbeszéléshez, ahol később élő trükközésre is sor kerülhetett.
Álcázott támadás, veszélyes következmények
Ha az azonosító nem egyezett, akkor az áldozatoknak egy hamis webes CAPTCHA-t kellett kitölteniük, amely magyarul utasította őket, hogy egy gomb megnyomásával másoljanak ki egy “tokent”, és futtassák azt a Windows parancssorában. Ez valójában egy PowerShell-parancsot indított el, amely letöltött egy kémprogramot és rendszerdiagnosztikai eszközt, amely elküldte a számítógép adatait a támadóknak. A végső kártevő egy könnyűsúlyú, WebSocket-alapú trójai volt, amely távoli parancsvégrehajtásra és adattolvajlásra is alkalmas.
Orosz kapcsolatok, szexappok és kémkedés
A rövid akció után Lviv városában olyan androidos alkalmazásokkal is támadtak, amelyek pornográf vagy felhőalapú tárolószoftvereknek álcázták magukat. Ezek valójában kémprogramok voltak, amelyek bemérték az áldozat helyzetét, naplózták a híváslistákat, a kapcsolatokat, a fényképeket, és folyamatosan továbbították az adatokat a támadókhoz.
Noha az elkövetőket nem nevezték meg, az orosz hátterű infrastruktúra, valamint a hasonló módszerekkel dolgozó, orosz titkosszolgálati kötődésű ColdRiver hackercsoport tevékenysége is felmerült a szakértőkben. A GTIG szerint a támadók villámgyorsan jelennek meg új, még fel nem tárt kártevőkkel, amint a korábbi eszközeikre fény derül.
