O grupo de cibercriminosos denominado Sandworm, que possui suspeitas de estar vinculado diretamente ao governo da Rússia, está adotando uma estratégia inovadora para invadir sistemas na Ucrânia. A tática consiste em explorar o elevado uso de versões pirateadas do sistema operacional Windows entre os ucranianos, visando enganar potenciais vítimas.
Essa nova campanha foi identificada por analistas da empresa de segurança cibernética EclecticIQ. Nos últimos anos, a Ucrânia tem apresentado altos índices de utilização de versões não licenciadas do Windows, incluindo em setores do governo. Com essa informação em mãos, os invasores desenvolveram uma nova isca para conseguir acesso a um número crescente de computadores.
O malware utilizado nesta operação é conhecido como Dark Crystal RAT, um sofisticado mecanismo de espionagem que é capaz de coletar uma vasta gama de informações, incluindo:
- Dados sensíveis do usuário
- Cookies do navegador
- Capturas de tela
- Registro de teclas digitadas
A nova abordagem para invadir máquinas ucranianas inicia-se com um programa falso que promete contornar o licenciamento de softwares da Microsoft, como o pacote Office. O arquivo em questão é denominado KMSAuto++x64_v1.8.4.zip, protegido por uma senha que é fornecida pelos hackers no momento do download, sendo encontrado até mesmo em algumas redes de torrent.
Disfarçado como um "crack" para desbloquear programas legítimos e permitir o uso sem a necessidade de pagamento de uma assinatura ou licença, o falso ativador de chaves possui uma interface que simula as opções de ativação. Entretanto, neste momento, um loader conhecido como BACKORDER já está em execução em segundo plano.
Este loader é responsável pela instalação do Dark Crystal RAT, conseguindo até mesmo contornar os mecanismos de detecção do Windows Defender. Uma vez em operação, o malware estabelece uma conexão direta com um servidor controlado pelos cibercriminosos, permitindo o envio das informações coletadas.
Entre os dados que podem ser furtados estão:
- Capturas de tela
- Teclado digitado pelo usuário
- Cookies e histórico de navegação
- Credenciais de acesso e dados de cartões
- Informações do sistema, incluindo programas instalados e detalhes sobre redes internas
Graças a um método de execução persistente e agendado, o malware pode continuar ativo mesmo após o desligamento e religamento do computador, sem necessitar de uma nova ativação. Elementos presentes no código de depuração e outras evidências dentro do malware aumentam as chances de que sua origem seja realmente russa.
