Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Variantă JavaScript PicassoLoader

Variantă JavaScript PicassoLoader

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Grupul de amenințări cunoscut sub numele de Ghostwriter a fost asociat cu un nou val de atacuri cibernetice care vizează organizații guvernamentale din Ucraina. Activ cel puțin din 2016, grupul și-a construit o reputație pentru desfășurarea atât a spionajului cibernetic, cât și a campaniilor de influențare în Europa de Est, cu un accent operațional puternic pe Ucraina și statele vecine.

Actorul hacker este, de asemenea, urmărit sub mai multe aliasuri, inclusiv FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 și White Lynx. De-a lungul anilor, grupul și-a perfecționat continuu infrastructura, lanțurile de atac și metodele de evitare a atacurilor, în efortul de a ocoli controalele de securitate și de a menține eficacitatea operațională pe termen lung.

Arsenalul de programe malware în continuă evoluție

Ghostwriter și-a modernizat constant ecosistemul de programe malware și tehnicile de livrare. Campaniile anterioare s-au bazat în mare măsură pe familia de programe malware PicassoLoader, care funcționa ca un mecanism de livrare pentru sarcini utile suplimentare, cum ar fi Cobalt Strike Beacon și njRAT.

La sfârșitul anului 2023, grupul și-a extins capacitățile exploatând vulnerabilitatea WinRAR CVE-2023-38831 pentru a distribui PicassoLoader și Cobalt Strike. În anul următor, organizațiile poloneze au devenit țintele unei campanii de phishing care a abuzat de o eroare de scripting cross-site din Roundcube identificată ca CVE-2024-42009. Activitatea rău intenționată a permis atacatorilor să execute JavaScript capabil să recolteze acreditările de e-mail de la victime.

Conturile compromise au fost folosite ulterior pentru a inspecta conținutul cutiilor poștale, a fura liste de contacte și a distribui mesaje de phishing suplimentare în iunie 2025. Până la sfârșitul anului 2025, grupul integrase și tehnici avansate de anti-analiză în operațiunile sale. Anumite documente-atracție au început să utilizeze verificarea dinamică CAPTCHA pentru a activa selectiv lanțul de infecții malițioase și a frustra mediile de analiză automată.

Campanii sofisticate de spear-phishing vizează Ucraina

Din martie 2026, cercetătorii au observat o nouă campanie îndreptată împotriva instituțiilor guvernamentale ucrainene prin e-mailuri de tip spear-phishing care conțin atașamente PDF malițioase. Documentele capcană se dau drept furnizorul de telecomunicații ucrainean Ukrtelecom, în încercarea de a părea legitime și de a crește implicarea victimelor.

Lanțul de atac se bazează pe link-uri încorporate în fișierele PDF care redirecționează victimele către o arhivă RAR malițioasă care conține o utilă bazată pe JavaScript. Odată executat, malware-ul afișează un document capcană pentru a păstra iluzia legitimității, lansând în mod silențios o variantă JavaScript a PicassoLoader în fundal. Ulterior, încărcătorul implementează Cobalt Strike Beacon pe sistemele compromise.

Geofencing-ul și validarea victimelor îmbunătățesc ascunderea

Unul dintre cele mai notabile aspecte ale celei mai recente campanii este implementarea geofencing-ului și a mecanismelor stratificate de validare a victimelor. Sistemele care se conectează de la adrese IP din afara Ucrainei primesc conținut PDF inofensiv în loc de sarcina utilă malițioasă, reducând semnificativ expunerea cercetătorilor și a sistemelor automate de scanare.

Malware-ul efectuează, de asemenea, amprentări extinse ale gazdelor compromise înainte de a livra sarcini suplimentare. Informațiile de sistem colectate sunt transmise către infrastructura controlată de atacator la fiecare zece minute, permițând operatorilor să determine manual dacă o victimă justifică exploatarea ulterioară. Numai după finalizarea acestui proces de validare, infrastructura livrează un dropper JavaScript de a treia etapă responsabil pentru instalarea Cobalt Strike Beacon.

Operațiunea combină metode automate de filtrare, inclusiv verificarea utilizator-agent și bazată pe IP, cu revizuirea manuală a operatorului, evidențiind o metodologie de atac extrem de disciplinată și matură.

Strategia de direcționare regională se extinde în Europa de Est

Activitatea actuală pare să se concentreze în principal asupra entităților militare, de apărare și guvernamentale din Ucraina. Cu toate acestea, operațiunile atribuite lui Ghostwriter în Polonia și Lituania demonstrează o strategie de direcționare mai amplă, care se extinde în mai multe sectoare critice:

  • Organizații industriale și de producție
  • Instituții de asistență medicală și farmaceutică
  • Furnizori de logistică
  • Agenții guvernamentale

Evoluția continuă a instrumentelor, mecanismelor de livrare și practicilor de securitate operațională ale Ghostwriter subliniază persistența și adaptabilitatea grupului. Capacitatea sa de a combina documente personalizate pentru atragerea de informații, livrarea selectivă a sarcinii utile, tehnicile anti-analiză și validarea manuală a victimelor demonstrează o capacitate sofisticată de spionaj cibernetic, concepută pentru a evita detectarea, maximizând în același timp impactul operațional.

Trending

Alertă de livrabilitate a e-mailurilor înșelătoare

phishing, Spam
E-mailurile neașteptate ar trebui tratate întotdeauna cu precauție, mai ales atunci când creează un sentiment de urgență sau solicită informații sensibile. Infractorii cibernetici deghizează frecvent mesajele de phishing în notificări legitime de la furnizori de servicii de încredere, în încercarea de a înșela destinatarii să dezvăluie date personale. Așa-numitele e-mailuri de tip „Alertă...

Cele mai văzute

Se încarcă...