2月，烏克蘭政府向全球招募黑客志愿者(IT網(wǎng)軍)對俄羅斯實體機構(gòu)發(fā)起網(wǎng)絡(luò)攻擊和DDoS攻擊。多名黑客志愿者積極響應(yīng)，對俄羅斯網(wǎng)絡(luò)發(fā)起攻擊，包括俄羅斯政府在內(nèi)的多個官網(wǎng)出現(xiàn)暫時性無法訪問的情況。

近日，研究人員發(fā)現(xiàn)一款偽裝成可以發(fā)起DDoS攻擊工具的惡意軟件——虛假的Liberator，主要向IT網(wǎng)軍進行推介，主要攻擊目標是俄羅斯。作為一款類釣魚軟件，該惡意軟件會安裝密碼和信息竊取木馬。

惡意軟件釣魚攻擊活動分析

從Liberator真實網(wǎng)站下載的版本是純凈的，但是需要授權(quán)才可以使用。而Telegram上傳播的隱藏了惡意軟件payload的Liberator與真實的Liberator在執(zhí)行前是無法區(qū)分的。

Liberator真實網(wǎng)站

Telegram上推介虛假Liberator的帖子中說該工具中已經(jīng)寫入了從服務(wù)器中獲取的俄羅斯目標列表，只需要簡單安裝和執(zhí)行就可以對軟件中內(nèi)置的俄羅斯目標發(fā)起攻擊。簡單易用的目的可能是為了吸引支持烏克蘭但又不懂技術(shù)的人們。

Telegram上推介虛假Liberator的帖子

信息竊取器

該惡意軟件在受害者系統(tǒng)上執(zhí)行前會首先執(zhí)行反調(diào)試檢查，然后執(zhí)行進程注入在內(nèi)存中加載Phoenix 信息竊取器。

2019年夏天，Phoenix信息竊取器在黑市出售，價格為每個月15美元或80美元終身有效。Phoenix可以從web瀏覽器、VPN工具、Discord、加密貨幣錢包中收集數(shù)據(jù)，并發(fā)送給一個IP為俄羅斯的遠程服務(wù)器地址。

Phoenix收集的數(shù)據(jù)樣本

安全建議

鑒于近期與俄羅斯和烏克蘭沖突有關(guān)的釣魚攻擊和惡意軟件頻發(fā)，研究人員建議用戶不要過度關(guān)注與俄羅斯和烏克蘭沖突有關(guān)的帖子，尤其是不要安裝相關(guān)工具攻擊烏克蘭和俄羅斯網(wǎng)絡(luò)，不要點擊郵箱中與俄羅斯和烏克蘭沖突有關(guān)的郵件的鏈接，做好自身網(wǎng)絡(luò)安全防護。

完整技術(shù)細節(jié)參見：https://blog.talosintelligence.com/2022/03/threat-advisory-cybercriminals.html。

本文翻譯自：https://www.bleepingcomputer.com/news/security/malware-disguised-as-security-tool-targets-ukraines-it-army/如若轉(zhuǎn)載，請注明原文地址。