L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a averti de nouvelles attaques de phishing visant à infecter les appareils avec des logiciels malveillants.
L’activité a été attribuée à un groupe de menaces qu’elle suit sous le nom UAC-0020, également connu sous le nom de Vermin. L’ampleur et la portée exactes des attaques sont actuellement inconnues.
Les chaînes d’attaque commencent par des messages de phishing contenant des photos de prétendus prisonniers de guerre de la région de Koursk, exhortant les destinataires à cliquer sur un lien pointant vers une archive ZIP.
Le fichier ZIP contient un fichier d’aide HTML compilé Microsoft (CHM) qui intègre du code JavaScript responsable du lancement d’un script PowerShell obscurci.
« L’ouverture du fichier installe des composants du logiciel espion SPECTR, ainsi que le nouveau malware appelé FIRMACHAGENT », a déclaré le CERT-UA. « Le but de FIRMACHAGENT est de récupérer les données volées par SPECTR et de les envoyer à un serveur de gestion distant. »
SPECTR est un malware connu lié à Vermin depuis 2019. Le groupe est considéré comme étant lié aux agences de sécurité de la République populaire de Louhansk (LPR).
Plus tôt en juin, le CERT-UA a détaillé une autre campagne orchestrée par les acteurs Vermin appelée SickSync qui ciblait les forces de défense du pays avec SPECTR.
SPECTR est un outil complet conçu pour collecter une large gamme d’informations, notamment des fichiers, des captures d’écran, des informations d’identification et des données provenant de diverses applications de messagerie instantanée telles que Element, Signal, Skype et Telegram.