El equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) ha revelado que se registraron no menos de tres ataques cibernéticos contra los organismos de la administración estatal y las instalaciones de infraestructura crítica en el país con el objetivo de robar datos confidenciales.
La campaña, la agencia dichoimplicó el uso de cuentas de correo electrónico comprometidas para enviar mensajes de phishing que contienen enlaces que apuntan a servicios legítimos como DropMefiles y Google Drive. En algunos casos, los enlaces están integrados dentro de los accesorios PDF.
Las misivas digitales buscaron inducir una falsa sensación de urgencia al afirmar que una agencia gubernamental ucraniana planeaba reducir los salarios, instando al destinatario a hacer clic en el enlace para ver la lista de empleados afectados.
Visitar estos enlaces conduce a la descarga de un cargador de script de Visual Basic (VBS) diseñado para obtener y ejecutar un script PowerShell capaz de cosechar archivos que coinciden con un conjunto específico de extensiones y capturar capturas de pantalla.
Se dice que la actividad, atribuida a un clúster de amenazas rastreado como UAC-0219, estaba en curso desde al menos el otoño de 2024, con iteraciones tempranas utilizando una combinación de binarios EXE, un robador de VBS y un software legítimo editor de imágenes llamado Irfanview para realizar sus objetivos.
CERT-UA le ha dado al cargador VBS y al malware PowerShell, el apodo de WreckSteel. Los ataques no se han atribuido a ningún país.
El desarrollo se produce cuando Kaspersky advirtió que el actor de amenaza conocido como jefe de yegua ha atacado a varias entidades rusas con un malware conocido como Fantompirámida Eso es capaz de procesar instrucciones emitidas por el operador en un servidor de comando y control (C2), así como descargar y ejecutar cargas útiles adicionales como Meshagent.
Las compañías de energía rusas, las empresas industriales y los proveedores y desarrolladores de las organizaciones de componentes electrónicos también han recibido los ataques de phishing de la amenaza montados por un actor de amenaza con nombre en código Unicornio Eso dejó caer un VBS Trojan diseñado para desviar archivos e imágenes de hosts infectados.
A fines del mes pasado, Seqrite Labs reveló que las redes académicas, gubernamentales, aeroespaciales y relacionadas con la defensa en Rusia están siendo atacadas por documentos de señuelo armados, probablemente enviados a través de correos electrónicos de phishing, como parte de una campaña doblada por la Operación Hollowquill. Se cree que los ataques comenzaron alrededor de diciembre de 2024.
La actividad hace uso de tácticas de ingeniería social, disfrazando los PDF con malware como invitaciones de investigación y comunicadas gubernamentales para atraer a los usuarios desprevenidos a desencadenar la cadena de ataque.
“La entidad de amenaza entrega un archivo rar malicioso que contiene un gotero de malware .NET, que deja caer un cargador de shellcode basado en Golang junto con la aplicación OneDrive legítima y un PDF basado en señuelo con una carga útil final de Cobalt Strike”, el investigador de seguridad Subhajeet Singha dicho.
About the Author
