Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), se está utilizando una campaña de phishing en curso con señuelos con temas de facturas para distribuir el malware SmokeLoader en forma de archivo políglota.
Los correos electrónicos, según el agenciase envían utilizando cuentas comprometidas y vienen con un archivo ZIP que, en realidad, es un archivo políglota que contiene un documento señuelo y un archivo JavaScript.
Luego, el código JavaScript se usa para lanzar un ejecutable que facilita la ejecución del malware SmokeLoader. SmokeLoader, detectado por primera vez en 2011, es un cargador cuyo objetivo principal es descargar o cargar malware más sigiloso o eficaz en los sistemas infectados.
CERT-UA atribuyó la actividad a un actor de amenazas al que llama UAC-0006 y la caracterizó como una operación con motivación financiera realizada con el objetivo de robar credenciales y realizar transferencias de fondos no autorizadas.
En un aviso relacionado, la autoridad de ciberseguridad de Ucrania también reveló detalles de ataques destructivos orquestados por un grupo conocido como UAC-0165 contra organizaciones del sector público.
El ataque, dirigido a una organización estatal no identificada, implicó el uso de un nuevo malware de limpieza basado en secuencias de comandos por lotes llamado RoarBAT que realiza una búsqueda recursiva de archivos con una lista específica de extensiones y los elimina de forma irrevocable utilizando la utilidad legítima WinRAR.
Esto, a su vez, se logró archivando los archivos identificados utilizando el Opción de línea de comando «-df» y posteriormente purgar los archivos creados. El script por lotes se ejecutó mediante una tarea programada.
Simultáneamente, los sistemas Linux se vieron comprometidos mediante un script bash que aprovechó la dd utilidad para sobrescribir archivos con cero bytes, evitando efectivamente la detección por parte del software de seguridad.
“Se constató que la operatividad de las computadoras electrónicas (equipos servidores, lugares de trabajo de usuarios automatizados, sistemas de almacenamiento de datos) se vio afectada como consecuencia del impacto destructivo realizado con el uso de software apropiado”, CERT-UA dicho.
«El acceso al objetivo ICS del ataque supuestamente se obtiene al conectarse a una VPN utilizando datos de autenticación comprometidos. La implementación exitosa del ataque fue facilitada por la falta de autenticación de múltiples factores al realizar conexiones remotas a VPN».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
La agencia atribuyó además UAC-0165 con confianza moderada al notorio grupo Sandworm (también conocido como FROZENBARENTS, Seashell Blizzard o Voodoo Bear), que tiene un historial de desencadenar ataques de limpiaparabrisas desde el comienzo de la guerra ruso-ucraniana el año pasado.
El vínculo con Sandworm se deriva de superposiciones significativas con otro ataque destructivo que golpeó a la agencia de noticias estatal ucraniana Ukrinform en enero de 2023, que estaba vinculada al colectivo adversario.
Las alertas llegan una semana después de que CERT-UA advirtiera sobre los ataques de phishing llevados a cabo por el grupo patrocinado por el estado ruso APT28 contra entidades gubernamentales del país con notificaciones falsas de actualización de Windows.