Nos últimos anos, o cenário digital tornou-se um campo de batalha onde hackers patrocinados pelo Kremlin utilizam tecnologias avançadas para enfraquecer adversários. Em uma descoberta recente, pesquisadores do Google apontaram que uma operação de ciberespionagem, apoiada pela Rússia, está utilizando malware direcionado para prejudicar recrutas ucranianos. Neste artigo, vamos explorar como esses ataques foram projetados, suas táticas, ferramentas e as consequências para o recrutamento militar ucraniano.
Campanha de Espionagem e Influência
Para espalhar o malware, os hackers recorrem ao Telegram, usando uma identidade chamada “Defesa Civil”. Postagens em canais ucranianos e o site oficial civildefense[.]com.ua promovem um software gratuito, supostamente útil para recrutas encontrarem localizações de recrutamento militar. No entanto, ao invés de fornecer essas informações, o software para Windows e Android instala programas de infostealer, que capturam dados sensíveis dos dispositivos.
A Google, por meio de sua divisão de segurança, rastreia esse grupo de ameaças como UNC5812. De acordo com os especialistas, o principal objetivo da UNC5812 é direcionar vítimas para o site “Defesa Civil”, onde são oferecidos programas com promessas enganosas. Quando instalados, esses aplicativos acabam baixando diversos tipos de malware.
Malware Adaptado para Windows e Android
O ataque ao sistema Android é ainda mais insidioso. Utilizando engenharia social, os hackers persuadem os usuários a desativarem o Google Play Protect — serviço de segurança integrado que verifica dispositivos em busca de ameaças. Durante o processo de instalação, o aplicativo engana o usuário, alegando que as permissões solicitadas são necessárias para a segurança do próprio dispositivo.
No entanto, este malware, conhecido como CraxsRat, contém funções de backdoor que permitem o controle remoto do dispositivo infectado. No caso dos dispositivos Windows, os hackers usam uma versão personalizada do Pronsis Loader, uma ferramenta que carrega o PureStealer. Esse software está disponível no mercado online por US$ 150 por mês ou uma licença vitalícia de US$ 699, tornando-o acessível para grupos de cibercrime com apoio financeiro.
A campanha da Defesa Civil inclui ainda a promessa de versões para macOS e iOS, mas os pesquisadores não encontraram amostras desses sistemas no momento da análise. Ainda assim, a operação parece estar em crescimento, com novos alvos e métodos de propagação.
Propagação Através de Canais do Telegram
Para alcançar potenciais vítimas, a UNC5812 utiliza canais legítimos e influentes no Telegram, em língua ucraniana. Em setembro de 2024, um canal respeitado, com mais de 80.000 seguidores e dedicado a alertas de mísseis, promoveu o canal “Defesa Civil”. Em outro exemplo, em outubro, mais um canal de notícias ucraniano compartilhou conteúdo da Defesa Civil, indicando uma estratégia ativa e contínua para atrair novos públicos.
É provável que o grupo de hackers utilize um método comum: a compra de postagens promovidas, um recurso disponível para qualquer canal no Telegram. Esses anúncios pagos são uma maneira eficaz de aumentar o alcance, possibilitando a segmentação de públicos específicos com mensagens de propaganda que complementam os ataques de malware.
Propaganda Antimobilização
Além da espionagem e do roubo de dados, a campanha também tem um viés de influência política. A UNC5812 incentiva seus seguidores no Telegram a compartilharem vídeos que supostamente mostram abusos em centros de recrutamento ucranianos. A intenção é desmoralizar a população e desacreditar os esforços de mobilização do país.
De acordo com os pesquisadores, o conteúdo promovido pelo canal “Defesa Civil” possui semelhanças com a propaganda pró-Rússia, presente em redes sociais mais amplas. Em pelo menos uma ocasião, um vídeo postado pela UNC5812 foi compartilhado posteriormente por uma conta oficial da Embaixada Russa na África do Sul, sugerindo uma interligação entre grupos de propaganda digital.
Conclusão
Esses ataques cibernéticos, somados à campanha de desinformação, formam uma estratégia de guerra híbrida que visa minar a estabilidade da Ucrânia. Os recursos de propaganda e espionagem, como o uso de malware e infostealers, indicam uma abordagem calculada, projetada para enfraquecer o moral e a infraestrutura de recrutamento do país.
O uso do Telegram e de sites enganosos demonstra o quanto é vital que governos e organizações de cibersegurança fiquem atentos para barrar essas ameaças. Em um cenário de guerra, as batalhas vão muito além do campo físico, e a segurança digital é uma linha de defesa essencial.
FONTE: ARSTECHNICA
