## Malware AgingFly visa hospitais e governo ucranianos em campanha de espionagem Hackers visaram hospitais ucranianos e órgãos do governo local em uma nova campanha de espionagem usando uma ferramenta de malware denominada **AgingFly**, dizem pesquisadores. O **CERT-UA** relatou que a atividade foi realizada por um grupo rastreado como UAC-0247, que lançou múltiplos ataques nos últimos dois meses contra autoridades municipais, hospitais clínicos e serviços médicos de emergência. Os hackers tentaram roubar dados confidenciais e, em alguns casos, explorar sistemas comprometidos para minerar criptomoedas, disse o **CERT-UA**. ### Ataques de Phishing e Payloads Maliciosos Os ataques geralmente começavam com e-mails de phishing que se passavam por discussões sobre propostas de ajuda humanitária. As vítimas eram solicitadas a seguir um link que levava ao download de um arquivo compactado malicioso. Para tornar as mensagens mais convincentes, os atacantes criavam ocasionalmente sites para organizações falsas – potencialmente gerados usando inteligência artificial – ou embutiam scripts maliciosos em sites legítimos. Uma vez abertos, o arquivo instalava várias peças de malware, incluindo **AgingFly**, **SilentLoop**, **ChromeElevator** e **ZapixDesk**. ### Capacidades do AgingFly O **CERT-UA** disse que o **AgingFly** permite que os atacantes controlem remotamente um computador infectado, permitindo-lhes executar comandos, baixar arquivos, capturar capturas de tela, registrar pressionamentos de teclas e executar código arbitrário. Outra ferramenta, **SilentLoop**, pode executar comandos e recuperar o endereço atual do servidor de comando e controle dos atacantes via canal do **Telegram**. Os atacantes também tentaram extrair credenciais de autenticação e outras informações confidenciais de navegadores de internet usando **ChromeElevator**, ou de contas do **WhatsApp** usando uma ferramenta chamada **ZapixDesk**. Em um caso, investigadores detectaram o uso do **XMRig**, uma ferramenta legítima de mineração de criptomoedas, sugerindo que os atacantes podem ter usado os recursos de computação das vítimas para gerar moeda digital. ### Visando Forças de Defesa O **CERT-UA** também alertou que membros das Forças de Defesa da Ucrânia poderiam ser alvos por táticas semelhantes. Em março, a agência recebeu relatos de que atacantes haviam distribuído o que alegavam ser um pacote de software atualizado para operadores de drones via aplicativo de mensagens **Signal**. O arquivo compactado continha, em vez disso, malware que instalou o **AgingFly**. ### Atividade do APT28 No início desta semana, a **Reuters** informou que, em um incidente separado, hackers ligados à Rússia invadiram mais de 170 contas de e-mail pertencentes a promotores e investigadores na Ucrânia, bem como alvos em países vizinhos da **OTAN** e nos Bálcãs. Pesquisadores de cibersegurança da **Ctrl-Alt-Intel** atribuíram essa campanha ao grupo conhecido como **APT28**, também referido como **Fancy Bear**, **BlueDelta** ou **Forest Blizzard**. Pesquisadores disseram que os hackers provavelmente visaram a aplicação da lei ucraniana para monitorar investigações sobre atividades de espionagem russas ou para coletar informações potencialmente confidenciais sobre altos funcionários em Kyiv. [](https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record)