El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre una nueva ola de campañas de ingeniería social que entregan malware IcedID y aprovechan las vulnerabilidades de Zimbra con el objetivo de robar información confidencial.
Al atribuir los ataques de phishing de IcedID a un grupo de amenazas llamado UAC-0041, la agencia dicho la secuencia de infección comienza con un correo electrónico que contiene un documento de Microsoft Excel (Мобілізаційний реєстр.xls o Mobilization Register.xls) que, cuando se abre, solicita a los usuarios que habiliten macros, lo que lleva a la implementación de IcedID.
El malware de robo de información, también conocido como BokBot, ha seguido una trayectoria similar a la de TrickBot, Emotet y ZLoader, evolucionando desde sus raíces anteriores como un troyano bancario a un servicio de software delictivo completo que facilita la recuperación de la siguiente etapa. implantes como ransomware.
![Gobierno de Ucrania Gobierno de Ucrania](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEiDJp0spIZO0ARtWFjPMq2wlyJdmIV4egH_XZ070CCfNNQktapr6CX6hcQiUzgPH_yFgMoToktM30e1n5wfH1Lpga-WyBbN4JnIMEwCmV0SCmWciW8Lc_7sKuD84rrDXq0F2eQeL-7JkKrwNeBvdTe4TRWPbj5RyQguMaBymwmwWSUTGgGoBf7UEHz6/s728-e1000/excel.jpg)
Él segundo conjunto de intrusiones dirigidas relacionarse con un nuevo grupo de amenazas denominado UAC-0097, con el correo electrónico que incluye una serie de archivos adjuntos de imágenes con un Ubicación del contenido encabezado que apunta a un servidor remoto que aloja una pieza de código JavaScript que activa un exploit para una vulnerabilidad de secuencias de comandos entre sitios de Zimbra (CVE-2018-6882).
En el paso final de la cadena de ataque, el JavaScript no autorizado inyectado se utiliza para reenviar los correos electrónicos de las víctimas a una dirección de correo electrónico bajo el control del atacante, lo que indica una campaña de espionaje cibernético.
Las incursiones son una continuación de las actividades cibernéticas maliciosas dirigidas a Ucrania desde principios de año. Recientemente, CERT-UA también reveló que había frustrado un ciberataque de adversarios rusos para sabotear las operaciones de un proveedor de energía no identificado en el país.