Negli ultimi mesi, le minacce informatiche rivolte a Russia e Ucraina hanno mostrato un livello di sofisticazione sempre più elevato, con l’emergere di campagne phishing su larga scala che distribuiscono malware avanzati come DarkWatchman e Sheriff. Questi attacchi, mirati a una varietà di settori tra cui media, turismo, finanza, energia e telecomunicazioni, sono attribuiti principalmente a gruppi cybercriminali motivati da interessi economici, come Hive0117.

DarkWatchman: tecniche di attacco e diffusione

DarkWatchman è un trojan di accesso remoto basato su JavaScript, attivo dal 2021, che si distingue per la sua capacità fileless, la presenza di un keylogger in C# e funzioni di rimozione delle tracce, rendendo difficile il rilevamento. Questo malware è stato spesso diffuso tramite email di phishing contenenti archivi protetti da password, che una volta aperti rilasciano varianti aggiornate del trojan, capaci di eludere le soluzioni di sicurezza tradizionali. Le ondate più recenti di attacchi hanno incluso esche tematiche, come finte notifiche di consegna, per aumentare l’efficacia delle campagne.

Sheriff: un nuovo backdoor contro il settore difesa ucraino

Parallelamente, in Ucraina è stato individuato un nuovo backdoor chiamato Sheriff, impiegato contro il settore della difesa. Sheriff si distingue per la sua architettura modulare: può eseguire comandi, raccogliere screenshot e inviare dati rubati tramite l’API di Dropbox, mantenendo un profilo basso per favorire lunghe compromissioni. Particolarmente insidiosa è la strategia di nascondere il malware su domini affidabili, come portali di notizie popolari, per aggirare i sospetti degli utenti. Sheriff dispone anche di una funzione “suicide”, che consente agli aggressori di cancellare tracce e interrompere le comunicazioni con il server C2 in modo automatico.

Similitudini tattiche e tecniche con altri malware

Le similitudini tra Sheriff e malware noti come CloudWizard, Prikormka e Kazuar suggeriscono possibili legami tattici e tecnici, come l’uso di intervalli regolari per la cattura degli screenshot e la gestione delle configurazioni tramite file ZIP. Queste tattiche sono tipiche di operazioni con finalità di spionaggio e sabotaggio, rivolte soprattutto alla raccolta di informazioni sensibili e al monitoraggio di sistemi di consapevolezza situazionale.

Trend attuali: aumento degli incidenti e nuove strategie di attacco

Secondo i dati ufficiali ucraini, nel 2024 gli incidenti informatici sono aumentati del 48% rispetto all’anno precedente, mentre sono diminuiti gli attacchi considerati di gravità critica, segno che le difese stanno evolvendo ma anche che gli attaccanti ricorrono a tecniche di automazione e supply chain attack sempre più mirate, puntando soprattutto a sistemi e infrastrutture strategiche.