一项新的恶意软件活动正在利用人们支持乌克兰针对俄罗斯的网络战的意愿，利用窃取密码的特洛伊木马感染他们。

上个月，乌克兰政府宣布了一支由全球志愿者组成的新 IT 军队，他们对俄罗斯实体进行网络攻击和 DDoS 攻击。

这一举措已引起全球许多人的大力支持，他们一直在帮助针对俄罗斯组织和网站，即使该活动被认为是非法的。

模仿真实的 DDoS 工具

与恶意软件分发者一样，威胁参与者正在利用 IT 军队，在 Telegram 上推广虚假 DDoS 工具，该工具安装密码和信息窃取木马。

在Cisco Talos的一份新报告中，研究人员警告说，威胁行为者正在模仿一种名为“解放者”的 DDoS 工具，这是一种用于打击俄罗斯宣传网点的网站轰炸机。

虽然从真实站点下载的版本是“干净的”，并且可能非法使用，但在 Telegram 中传播的版本隐藏了恶意软件有效负载，并且在执行它们之前无法区分它们，因为它们都没有经过数字签名。

Telegram 帖子声称该工具从服务器获取要攻击的俄罗斯目标列表，因此用户除了在他们的机器上执行它之外不需要做太多事情。 

这种易用性可能会吸引那些技术不高、不知道如何自己攻击“轰炸”俄罗斯网站的乌克兰支持者。

信息窃取者

投放在受害者系统上的恶意软件在执行之前会执行反调试检查，然后执行进程注入步骤，将 Phoenix 信息窃取程序加载到内存中。

Phoenix 于 2019 年夏天首次被发现，以 MaaS（恶意软件即服务）的形式在地下网络犯罪中以每月 15 美元或终身订阅 80 美元的价格出售。

特定的信息窃取者可以从 Web 浏览器、VPN 工具、Discord、文件系统位置和加密货币钱包中收集数据，并将它们发送到远程地址，在这种情况下是俄罗斯 IP。

Talos 研究人员发现，该特定 IP 自 2021 年 11 月以来一直在分发 Phoenix。因此，最近的主题变化表明该活动只是利用乌克兰战争谋取经济利益的机会主义尝试。

不要参与网络攻击

可以理解的是，许多人被一种情绪所压倒，这种情绪促使他们对无端的大规模军事入侵采取行动，但参与网络攻击总是一个坏主意。

即使这些行动似乎是由得到国际社会总体支持的乌克兰政府赞助的，但它的使用并不合法。

参与 DDoS、污损或网络破坏攻击的用户仍有可能在所在国家/地区的执法机构遇到麻烦。

这种恶意软件分发活动是您应该避免参与此类操作的另一个原因，因为到最后，您只会将自己置于危险之中。