Os hackers ligados à Ucrânia estão a intensificar os ataques cibernéticos contra empresas aeroespaciais russas e empresas relacionadas com a defesa, utilizando novos malwares personalizados para roubar projetos, programações e e-mails internos.
A campanha tem como alvo tanto os principais contratantes como os pequenos fornecedores, com o objectivo de mapear as cadeias de produção e expor os pontos fracos da indústria bélica da Rússia. As ferramentas utilizadas nesta campanha são simples, mas utilizadas com cuidado e bom planejamento.
Página inicial desfigurada do site da KrasAvia (Fonte – Intrinsec)
O malware apareceu pela primeira vez no final de 2024 em ondas de spear-phishing enviadas a engenheiros e gerentes de projetos que trabalhavam em aviônica, sistemas de orientação e links de satélite.
Lures usou ofertas de emprego falsas, convites para conferências e atualizações de contratos, com documentos anexados que exploravam software de escritório desatualizado em hosts Windows. Depois de aberto, o arquivo descarregou silenciosamente um pequeno carregador que preparou o cenário para a carga principal.
Os analistas de segurança da Intrinsec identificaram o malware depois de observarem repetidos tráfegos de saída do escritório remoto de um integrador de defesa para raros servidores de comando hospedados em uma infraestrutura à prova de balas.
Seu detalhamento técnico completo mostra que os invasores ajustaram cuidadosamente cada carga útil à função da vítima, adicionando módulos personalizados para coleta de e-mail, roubo de documentos e captura de credenciais.
Conteúdo do e-mail (esquerda) e da página de phishing (direita) (Fonte – Intrinsec)
A operação atinge laboratórios de pesquisa, campos de testes e empresas de logística que apoiam aeronaves, drones e sistemas de mísseis. Dados roubados podem revelar escassez de peças, atrasos nas entregas e bugs de software, dando aos planejadores ucranianos uma visão mais clara da prontidão de combate russa.
Cadeia de infecção e execução de comandos
A cadeia de infecção é simples, mas inteligente. O primeiro carregador, geralmente uma pequena DLL, é executado apenas na memória e extrai um script de segundo estágio de uma URL codificada.
Esse script injeta a carga final em um processo confiável, como explorer.exe, o que o ajuda a se misturar com a atividade normal do usuário.
Os pesquisadores da Intrinsec observaram que a carga útil usa um loop de comando compacto para permanecer flexível. Uma rotina típica, como vista em despejos de memória, é assim: –
while (conectado) { cmd = recv(); if (cmd == “exfil”) run_exfil(); if (cmd == “shell”) open_shell(); }
Essa lógica simples permite que o operador alterne entre o roubo silencioso de dados e o controle prático do teclado. Cada estágio é construído para manter o ruído baixo no host.
Apesar de seu design claro, o malware evita truques de persistência barulhentos, confiando em tarefas agendadas e ferramentas de atualização sequestradas para retornar após reinicializações, ao mesmo tempo em que permanece difícil de detectar.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
