El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha prevenido de nuevos ataques de phishing que tienen como objetivo infectar dispositivos con malware.
La actividad se ha atribuido a un grupo de amenazas que rastrea como UAC-0020, también conocido como Vermin. La escala y el alcance exactos de los ataques se desconocen por el momento.
Las cadenas de ataque comienzan con mensajes de phishing con fotos de supuestos prisioneros de guerra (PoW) de la región de Kursk, instando a los destinatarios a hacer clic en un enlace que apunta a un archivo ZIP.
El archivo ZIP contiene un archivo de ayuda HTML compilado de Microsoft (CHM) que incorpora el código JavaScript responsable de iniciar un script de PowerShell ofuscado.
«Al abrir el archivo se instalan componentes del conocido spyware SPECTR, así como el nuevo malware llamado FIRMACHAGENT», indicó CERT-UA. «El objetivo de FIRMACHAGENT es recuperar los datos robados por SPECTR y enviarlos a un servidor de gestión remoto».
SPECTR es un malware conocido vinculado a Vermin desde 2019. Se estima que el grupo está vinculado a agencias de seguridad de la República Popular de Luhansk (LPR).
A principios de junio, CERT-UA detalló otra campaña orquestada por los actores de Vermin llamada SickSync que tenía como objetivo a las fuerzas de defensa del país con SPECTR.
SPECTR es una herramienta completa diseñada para recopilar una amplia gama de información, incluidos archivos, capturas de pantalla, credenciales y datos de varias aplicaciones de mensajería instantánea como Element, Signal, Skype y Telegram.