El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha advertido de un nuevo conjunto de ataques de spear-phishing que explotan la falla «Follina» en el sistema operativo Windows para implementar malware que roba contraseñas.
Atribuyendo las intrusiones a un grupo de estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Sofacy), la agencia dijo que los ataques comienzan con un documento de señuelo titulado «Terrorismo nuclear: una amenaza muy real.rtf» que, cuando se abre, explota la reciente reveló una vulnerabilidad para descargar y ejecutar un malware llamado CredoMap.
Follina (CVE-2022-30190, puntuación CVSS: 7,8), que se refiere a un caso de ejecución remota de código que afecta a la herramienta de diagnóstico de soporte de Windows (MSDT), fue abordado por Microsoft el 14 de junio de 2022, como parte de sus actualizaciones del martes de parches.
Según un informe independiente publicado por Malwarebytes, CredoMapa es una variante del ladrón de credenciales basado en .NET que Google Threat Analysis Group (TAG) divulgó el mes pasado que se implementó contra usuarios en Ucrania.
El objetivo principal del malware es desviar datos, incluidas contraseñas y cookies guardadas, de varios navegadores populares como Google Chrome, Microsoft Edge y Mozilla Firefox.
«Aunque saquear los navegadores puede parecer un hurto menor, las contraseñas son la clave para acceder a información confidencial e inteligencia», Malwarebytes dijo. «El objetivo y la participación de APT28, una división de la inteligencia militar rusa, sugiere que la campaña es parte del conflicto en Ucrania, o al menos está relacionada con la política exterior y los objetivos militares del estado ruso».
No es solo APT28. CERT-UA tiene más prevenido de similar ataques montado por Sandworm y un actor apodado UAC-0098 que aprovecha una cadena de infección basada en Follina para implementar CrescentImp y Cobalt Strike Beacons en hosts específicos.
El desarrollo se produce cuando Ucrania continúa siendo un objetivo para los ataques cibernéticos en medio de la guerra en curso del país con Rusia, y también se detectaron piratas informáticos de Armageddon. distribuido la Malware GammaLoad.PS1_v2 en mayo de 2022.