A Equipa de Resposta Informática de Emergência da Ucrânia (CERT-UA) tem emitido um alerta de ataques cibernéticos contra as autoridades estatais do país que utilizam um software legítimo de acesso remoto chamado Remcos.
A campanha de phishing em massa tem sido atribuída a um actor ameaçador que segue como UAC-0050A agência descreve a actividade como provavelmente motivada pela espionagem, dado o conjunto de ferramentas utilizadas.
Os falsos e-mails que iniciam a sequência de infecção afirmam ser da empresa de telecomunicações Ukrtelecom ucraniana Ukrtelecom e vêm com um arquivo RAR de engodo. Dos dois ficheiros presentes no ficheiro, um é um arquivo RAR protegido por palavra-passe com mais de 600MB e o outro é um ficheiro de texto contendo a palavra-passe para abrir o ficheiro RAR.
Incorporado no segundo arquivo RAR está um executável que leva à instalação do software de acesso remoto Remcos, concedendo ao atacante acesso total aos computadores comprometidos pelo comando.
Remcos, abreviatura de software de controlo e vigilância à distância, é oferecido pela Breaking Security quer gratuitamente quer como uma versão premium que custa entre 58 e 945 euros.
A empresa italiana chama-lhe “uma ferramenta de administração remota leve, rápida e altamente personalizável, com uma vasta gama de funcionalidades”.
O último parecer do CERT-UA vem na altura em que o Centro Estatal de Protecção Cibernética (SCPC) da Ucrânia apontou o dedo a um actor de ameaça patrocinado pelo Estado russo conhecido como Gamaredon pelos seus ataques direccionados às autoridades públicas e às infra-estruturas de informação crítica.