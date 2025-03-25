L'URL del download solleva immediatamente preoccupazioni, poiché il ukr.net host è classificato come il quarto sito più visitato in Ucraina secondo Semrush. Ukr.net è anche un provider di servizi Internet (ISP), un popolare provider di e-mail e ospita uno dei più grandi portali di notizie in Ucraina, con oltre 100 milioni di visite al mese. Sebbene ukr.net sembri offrire anche servizi di hosting, generalmente non è possibile per gli utenti ospitare file su directory root arbitrarie sul server web principale. Pertanto, è probabile che l'attore delle minacce abbia compromesso ukr.net per allestire il payload backdoor criptato dello Sheriff all'inizio di marzo 2024.

Al momento dell'indagine, il payload non era disponibile e X-Force non è stata in grado di identificare altri payload dannosi ospitati su ukr.net. È possibile che l'accesso dell'attore delle minacce fosse limitato nella portata, disponibile solo per un breve periodo o intenzionalmente usato con parsimonia. L'accesso di un attore delle minacce al più grande portale di notizie ucraino gli permetterebbe di condurre una serie di attacchi ad alto impatto e operare con un oscuramento maggiore. In questo specifico incidente, l'attore delle minacce potrebbe aver abusato del dominio di fiducia per mettere in scena il malware senza destare sospetti.