El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una advertencia de alerta de ataques cibernéticos contra las autoridades estatales del país que implementan un software legítimo de acceso remoto llamado Remcos.
La campaña de phishing masivo se ha atribuido a un actor de amenazas que rastrea como UAC-0050y la agencia describió la actividad como probablemente motivada por el espionaje dado el conjunto de herramientas empleadas.
Los correos electrónicos falsos que inician la secuencia de infección afirman ser de la empresa de telecomunicaciones ucraniana Ukrtelecom y vienen con un archivo RAR de señuelo. De los dos archivos presentes en el archivo, uno es un archivo RAR protegido con contraseña que tiene más de 600 MB y el otro es un archivo de texto que contiene la contraseña para abrir el archivo RAR.
Incrustado dentro del segundo archivo RAR hay un ejecutable que conduce a la instalación del software de acceso remoto Remcos, lo que otorga al atacante acceso total a las computadoras comprometidas.
Remcosabreviatura de software de vigilancia y control remoto, se ofrece en Breaking Security de forma gratuita o como una versión premium que cuesta entre 58 y 945 euros.
La compañía italiana lo llama una «herramienta de administración remota liviana, rápida y altamente personalizable con una amplia gama de funcionalidades».
El último aviso de CERT-UA se produce cuando el Centro Estatal de Protección Cibernética (SCPC) de Ucrania señaló con el dedo a un actor de amenazas patrocinado por el estado ruso conocido como Gamaredon por sus ataques dirigidos a las autoridades públicas y la infraestructura de información crítica.