O grupo Ghostwriter voltou a atacar o governo ucraniano, utilizando uma campanha de phishing com geolocalização. Os atacantes enviam arquivos PDF que, ao serem abertos, implantam o malware Cobalt Strike. Essa tática de geocercamento ativa o ataque apenas se a vítima estiver em uma localização específica, dificultando a análise de fora da Ucrânia.
Como funciona o geocercamento na distribuição de malware 🗺️
O geocercamento é uma técnica que verifica a localização da vítima por meio de coordenadas IP ou GPS antes de executar o payload. Nesta campanha, os PDFs maliciosos contêm links que só baixam o Cobalt Strike se o usuário estiver dentro da Ucrânia. Isso impede que analistas em outros países detectem o código malicioso ao abrir o arquivo em ambientes controlados. O Cobalt Strike permite que os atacantes executem comandos, roubem dados e se movam lateralmente na rede comprometida, tudo a partir de um servidor remoto.
O ataque que só funciona se você estiver no lugar certo 🎯
O Ghostwriter aperfeiçoou a arte da exclusividade: seu phishing só abre a porta se você estiver na Ucrânia. Se você é um analista na Espanha ou nos Estados Unidos, o PDF se comporta como um documento inofensivo. É como se o malware dissesse: desculpe, você não está na lista de convidados. Enquanto isso, os funcionários ucranianos abrem o arquivo e recebem uma surpresa digital que não pediram. A geolocalização como filtro de segurança reverso: um truque que faria sorrir qualquer vendedor de ingressos para shows.