Un nuova e grande minaccia sta tenendo in apprensione diverse entità diplomatiche dell'Europa orientale anche se, in un prossimo futuro, potrebbe giungere fino in occidente. Stiamo parlando del malware GraphicalProton, impegnato in una campagna su vasta scala attuata dal gruppo russo APT29, noto anche come BlueBravo, Cloaked Ursa o Midnight Blizzard.
Il malware, a quanto pare, viene diffuso attraverso e-mail phishing dagli scorsi mesi di marzo e maggio, con servizi Internet legittimi (come Dropbox e OneDrive) utilizzati indebitamente per la diffusione dell'agente malevolo, come riportato da Recorded Future.
Le e-mail di phishing utilizzano come esca file ISO o ZIP e attirerebbero le malcapitate vittime proponendo contenuti che riguardano automobili. Tali archivi presentano all'interno un file .LNK di sproofing di immagini PNG che, in realtà, vanno poi ad attivare GraphicalProton.
Il malware GraphicalProton ripercorre il modus operandi di alcuni suoi predecessori
Questo malware, d'altro canto, per modalità di funzionamento e strategia di diffusione, è tutto fuorché rivoluzionario. Un'azione simile, con sempre APT29 come protagonista, è avvenuta qualche tempo fa con la diffusione dell'agente malevolo noto come GraphicalNeutrino (o SNOWYAMBER).
Le differenze, in tal senso, riguardano prevalentemente il tipo di server C2 utilizzato. Per GraphicalNeutrino, infatti, come base veniva utilizzata Notion, mentre per GraphicalProton, come già affermato, Dropbox e OneDrive.
Secondo gli esperti del settore, questo tipo di offensiva non è una semplice manovra di disturbo. A quanto pare, si tratta di un'azione strutturata da parte della Russia per raccogliere in informazioni riguardo le attività europee durante e, potenzialmente, in una fase post-conflitto sul territorio ucraino.
Per quanto riguarda l'utenza, i ricercatori hanno specificato come sia importante fare grande attenzione a OneDrive e ad altri canali potenzialmente utilizzabili per diffondere malware.