Uma nova campanha de malware altamente furtiva está mirando militares ucranianos por meio de sites falsos que oferecem um aplicativo chamado “Army+.” Esses sites hospedam instaladores maliciosos que, ao serem executados, instalam tanto o aplicativo legítimo quanto o navegador Tor, sugerindo o uso intencional para comunicações sigilosas ou exfiltração de dados pelos atacantes.

O processo começa com a execução de um arquivo chamado ArmyPlusInstaller, que simultaneamente inicia o aplicativo falso ArmyPlus.exe e um script PowerShell denominado init.ps1. Esse script contorna medidas de segurança padrão do PowerShell, como a política de execução de scripts, utilizando os cmdlets Get-ExecutionPolicy e Set-ExecutionPolicy para conceder permissões e mascarar suas atividades.

O malware distribui seus componentes em três diretórios distintos. No diretório principal, ArmyPlus, são armazenados arquivos de isca e o script principal init.ps1. Este script extrai o navegador Tor para a pasta OneDriveData, configura-o para operar de forma invisível e o executa em segundo plano. Paralelamente, arquivos do OpenSSH são instalados em uma pasta separada, estabelecendo uma conexão de backdoor para comunicação comando-e-controle (C2).

O principal objetivo do ataque é obter controle total sobre sistemas comprometidos, permitindo que os invasores executem comandos arbitrários com privilégios elevados. Além disso, o malware utiliza engenharia social para convencer as vítimas da legitimidade do instalador, ao solicitar privilégios administrativos, comportamento comum em aplicativos Windows, estabelecendo assim uma falsa sensação de confiança.