Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha recentemente scoperto una nuova serie di attacchi informatici mirati a istituzioni ucraine attraverso l'uso di malware per il furto di dati. Queste attività sono rivolte principalmente a formazioni militari, agenzie di polizia e organi di governo locale, soprattutto nelle aree vicine al confine orientale dell'Ucraina. Gli attacchi si manifestano attraverso email di phishing che contengono un foglio di calcolo Excel (XLSM) abilitato per le macro. Una volta aperto, questo file facilita la distribuzione di due malware: uno script PowerShell proveniente dal repository GitHub PSSW100AVB e un nuovo malware di furto dati chiamato GIFTEDCROOK.

I nomi dei file e gli oggetti delle email fanno riferimento a temi sensibili e rilevanti come lo sminamento, le multe amministrative, la produzione di UAV e il risarcimento per proprietà distrutte. Questi fogli di calcolo contengono codice dannoso che, una volta aperto e con le macro abilitate, si trasforma automaticamente in malware ed esegue azioni senza che l'utente ne sia a conoscenza. GIFTEDCROOK è scritto in C/C++ e consente il furto di dati sensibili dai browser web come Google Chrome, Microsoft Edge e Mozilla Firefox. Questi dati includono cookie, cronologia di navigazione e dati di autenticazione.

Le email sono inviate da account compromessi, spesso tramite l'interfaccia web dei client di posta, per conferire una parvenza di legittimità e ingannare le vittime potenziali nel aprire i documenti. CERT-UA attribuisce questa attività a un cluster di minacce identificato come UAC-0226, sebbene non sia stato collegato a un paese specifico.

Questa scoperta si inserisce in un contesto più ampio di attacchi informatici, come quello condotto da un attore di spionaggio sospettato di avere legami con la Russia, noto come UNC5837. Questo gruppo è stato collegato a una campagna di phishing che ha preso di mira organizzazioni governative e militari europee nell'ottobre 2024. La campagna ha utilizzato file .RDP firmati per stabilire connessioni Remote Desktop Protocol (RDP) dalle macchine delle vittime, sfruttando il reindirizzamento delle risorse e le RemoteApps per presentare applicazioni controllate dagli aggressori.

Inoltre, campagne di phishing recenti hanno utilizzato CAPTCHA falsi e Cloudflare Turnstile per distribuire il malware Legion Loader, che serve da condotto per installare un'estensione dannosa per browser basata su Chromium chiamata "Save to Google Drive". Questi attacchi iniziano con un'infezione da drive-by download che si attiva quando una vittima cerca un documento specifico e viene attirata su un sito web malevolo. L'obiettivo finale è catturare una vasta gamma di informazioni sensibili e trasferirle agli aggressori.