Um grupo de hackers com ligações à Bielorrússia, **GhostWriter** (também rastreado como UNC1151 e Storm-0257), lançou uma nova campanha de espionagem visando oficiais do governo ucraniano. A campanha utiliza e-mails de phishing sofisticados disfarçados como mensagens da **Prometheus**, uma popular plataforma de aprendizado online na Ucrânia, para entregar malware. De acordo com a equipe de resposta a emergências de computadores da Ucrânia, **CERT-UA**, a campanha está ativa desde a primavera de 2024 e envolve e-mails de phishing enviados de contas comprometidas para funcionários de organizações governamentais. ### Detalhes do Esquema de Phishing Os e-mails são elaborados para parecerem mensagens legítimas da **Prometheus**, alegando oferecer certificados pela conclusão de cursos online. A **Prometheus** oferece uma ampla gama de cursos, incluindo aqueles relacionados a programação, negócios, administração pública, serviço militar e até engenharia de drones, tornando-a um chamariz eficaz. ### Modus Operandi do GhostWriter **GhostWriter**, um ator de ameaças ligado aos serviços de inteligência estatais bielorrussos, tem um histórico de atingir pessoal militar ucraniano, instituições governamentais polonesas e outros oficiais na região. Suas táticas anteriores incluem roubo de credenciais e operações de influência. ### Entrega de Malware e Cadeia de Infecção Os e-mails de phishing contêm um anexo PDF com um link malicioso. Este link baixa um arquivo ZIP contendo malware identificado como OysterFresh. A cadeia de malware implementa ainda componentes conhecidos como OysterBlues e OysterShuck. Esses componentes são projetados para coletar informações do sistema de dispositivos infectados e transmiti-las para infraestrutura controlada pelo atacante, que está oculta atrás do **Cloudflare**. ### Exfiltração de Dados e Potencial Implantação de Cobalt Strike A **CERT-UA** relata que o malware coleta uma ampla gama de detalhes, incluindo o nome do computador, versão do sistema operacional, informações da conta de usuário e uma lista de processos em execução. A agência também alerta que sistemas comprometidos podem potencialmente receber um payload ligado ao **Cobalt Strike**, uma ferramenta legítima de teste de penetração frequentemente abusada por cibercriminosos e grupos apoiados por estados para fins maliciosos. ### Campanha de Espionagem Recente Visando o Sistema Delta Este aviso segue uma divulgação recente pela **CERT-UA** sobre outra campanha de espionagem visando usuários do Delta, o sistema de gerenciamento de campo de batalha e consciência situacional da Ucrânia. Nessa operação, atacantes enviaram e-mails de phishing disfarçados de alertas de agências de cibersegurança ucranianas, alertando os destinatários sobre suposto acesso não autorizado a contas do Delta.