O Grupo de Inteligência de Ameaças do Google (GTIG) identificou uma nova e acelerada onda de desenvolvimento de malwares atribuída ao COLDRIVER — um grupo de hackers associado ao governo russo. A descoberta foi detalhada em uma publicação feita nesta segunda-feira (20), revelando o surgimento de três novas ameaças cibernéticas: NOROBOT, YESROBOT e MAYBEROBOT.
De acordo com o Google, a nova família de malwares passou por “múltiplas iterações” desde maio deste ano, o que demonstra um ritmo acelerado de evolução e operação por parte do COLDRIVER. As variantes descobertas compartilham uma cadeia de distribuição interligada, sugerindo um esforço coordenado de aprimoramento técnico e escalabilidade.
Tradicionalmente conhecido por empregar ataques de phishing para comprometer alvos e roubar dados sensíveis, o COLDRIVER parece agora expandir seu escopo. “Está claro que eles investiram esforços significativos em seu desenvolvimento para reequipar e implantar seu malware em alvos específicos”, afirmou o GTIG.
O grupo acredita que os novos malwares sejam usados para infectar vítimas previamente comprometidas, cujos dados e contatos foram extraídos em campanhas anteriores.
O COLDRIVER — também identificado pelos nomes UNC4057, Star Blizzard e Callisto — é patrocinado pelo Estado russo e costuma mirar indivíduos de alto perfil, como consultores políticos, dissidentes e integrantes de ONGs. O avanço observado nos últimos meses coincide com a descoberta do malware LOSTKEYS, revelado em maio, o que reforça a hipótese de uma nova fase de atuação do grupo.
Como acontece a infecção?
A infecção ocorre a partir de um anúncio falso chamado ClickFix, disfarçado sob o nome COLDCOPY. Ao clicar no aviso, o usuário inicia o download do malware NOROBOT, executado por meio do processo legítimo rundll32.exe. Esse arquivo, por sua vez, aciona o próximo estágio da cadeia de ataque.
Em versões iniciais, o NOROBOT distribuía o backdoor YESROBOT. Nas iterações mais recentes, no entanto, o COLDRIVER substituiu o payload pelo MAYBEROBOT — uma versão mais avançada e versátil, capaz de baixar cargas a partir de URLs específicos, executar comandos via CMD e rodar códigos diretamente no PowerShell.
Os malwares NOROBOT e MAYBEROBOT também são monitorados pela empresa de cibersegurança Zscaler ThreatLabz, mas com os nomes BAITSWITCH e SIMPLESFIX, respectivamente.
Google alertou vítimas sobre a atividade irregular
O Google segue monitorando a evolução da família de malwares, destacando a rapidez com que o COLDRIVER adaptou e expandiu suas ferramentas ofensivas em poucos meses.
Como medida de contenção, todas as páginas, os domínios e os arquivos maliciosos encontrados durante a investigação foram adicionados à lista de restrição do Safe Browsing. Alvos antigos e potenciais vítimas também foram alertados.
Quer saber mais sobre cibersegurança e ameaças digitais? Acompanhe o TecMundo para se manter atualizado sobre as mais recentes descobertas, vulnerabilidades e estratégias de proteção no mundo da tecnologia.