El equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) tiene reveló Un nuevo conjunto de ataques cibernéticos dirigidos a instituciones ucranianas con malware que roba información.
La actividad está dirigida a formaciones militares, agencias de aplicación de la ley y organismos locales de autogobierno, particularmente aquellos ubicados cerca de la frontera oriental de Ucrania, dijo la agencia.
Los ataques implican distribuir correos electrónicos de phishing que contienen una hoja de cálculo de Microsoft Excel (XLSM), que, cuando se abre, las instalaciones del despliegue de dos piezas de malware, un script de PowerShell tomado del PSSW100AVB (“PowerShell scripts con 100% AV Bypass”) Repositorio de GitHub que abre una carcasa inversa, y un robador previamente indocumentado denominado GetTedCrook.
“Los nombres de archivos y las líneas de asunto de correo electrónico hacen referencia a cuestiones relevantes y confidenciales como desminación, multas administrativas, producción de UAV y compensación por propiedades destruidas”, dijo CERT-UA.
“Estas hojas de cálculo contienen código malicioso que, al abrir el documento y habilitando las macros, se transforma automáticamente en malware y se ejecuta sin el conocimiento del usuario”.
Escrito en C/C ++, GiftedCrook facilita el robo de datos confidenciales de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox, como cookies, historial de navegación y datos de autenticación.
Los mensajes de correo electrónico se envían desde cuentas comprometidas, a menudo a través de la interfaz web de los clientes de correo electrónico, para prestar los mensajes una apariencia de legitimidad y engañar a las posibles víctimas para que abran los documentos. CERT-UA ha atribuido la actividad a un grupo de amenazas UAC-0226, aunque no se ha vinculado a un país específico.
El desarrollo se produce cuando un presunto actor de espionaje de Rusia-Nexus denominado UNC5837 se ha vinculado a una campaña de phishing dirigida al gobierno europeo y organizaciones militares en octubre de 2024.
“La campaña empleada accesorios de archivo .RDP firmados para establecer conexiones de protocolo de escritorio remoto (RDP) de las máquinas de las víctimas”, el Grupo de Inteligencia de Amenazos de Google (GTIG) dicho.
“A diferencia de los ataques RDP típicos centrados en las sesiones interactivas, esta campaña aprovechó creativamente la redirección de recursos (mapeo de sistemas de archivos de víctimas a los servidores de atacantes) y remoteapps (presenta aplicaciones controladas por atacantes a las víctimas)”.
Vale la pena señalar que la campaña RDP fue documentada previamente por CERT-UA, Amazon Web Services y Microsoft en octubre de 2024 y posteriormente por Trend Micro en diciembre. CERT-UA está rastreando la actividad bajo el nombre UAC-0215, mientras que los otros la han atribuido al Grupo de piratería patrocinado por el estado ruso APT29.
El ataque también es notable por el uso probable de una herramienta de código abierto llamada PYRDP para automatizar actividades maliciosas, como la exfiltración de archivos y la captura de portapapeles, incluidos datos potencialmente confidenciales como contraseñas.
“La campaña probablemente permitió a los atacantes leer unidades de víctimas, robar archivos, capturar datos del portapapeles (incluidas las contraseñas) y obtener variables de entorno de víctimas”, dijo el GTIG en un informe del lunes. “El objetivo principal de UNC5837 parece ser el espionaje y el robo de archivos”.
En los últimos meses, las campañas de phishing también se han observado utilizando Captchas falsos y Cloudflare Turnstile para distribuir Legion Loader (también conocido como Satacom), que luego sirve como un conducto para soltar una extensión de navegador maliciosa basada en el cromo llamado “Guardar en Google Drive”.
“La carga útil inicial se extiende a través de una infección de descarga de transmisión que comienza cuando una víctima busca un documento específico y se atrae a un sitio web malicioso”, Netskope Threat Labs dicho. “El documento descargado contiene un captcha que, una vez hecho clic por la víctima, lo redirigirá a un captcha de torniquillo de CloudFlare y luego eventualmente a una página de notificación”.
La página solicita a los usuarios que permitan notificaciones en el sitio, después de lo cual las víctimas son redirigidas a una segunda captcha de torniquillo de Cloudflare que, al finalizar, se redirige nuevamente a una página que proporciona instrucciones de estilo ClickFix para descargar el documento que están buscando.
En realidad, el ataque allana el camino para la entrega y la ejecución de un archivo de instalador MSI que es responsable de lanzar Legion Loader, que, a su vez, realiza una serie de pasos para descargar y ejecutar scripts intermedios de PowerShell, agregando en última instancia la extensión del navegador Rogue al navegador.
El script PowerShell también termina la sesión del navegador para que la extensión esté habilitada, enciende el modo de desarrollador en la configuración y relanza el navegador. El objetivo final es capturar una amplia gama de información confidencial y exfiltrarla a los atacantes.
About the Author
