Las entidades ucranianas con sede en Finlandia han sido atacadas como parte de una campaña maliciosa que distribuye un troyano comercial de acceso remoto conocido como Remcos RAT utilizando un cargador de malware llamado IDAT Loader.
El ataque se ha atribuido a un actor de amenazas rastreado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) bajo el nombre de UAC-0184.
“El ataque, como parte del IDAT Loader, utilizó la esteganografía como técnica”, dijo el investigador de Morphisec Michael Dereviashkin. dicho en un informe compartido con The Hacker News. “Si bien las técnicas esteganográficas o ‘Stego’ son bien conocidas, es importante comprender su papel en la evasión de la defensa, para comprender mejor cómo defenderse contra tales tácticas”.
IDAT Loader, que se superpone con otra familia de cargadores llamada Hijack Loader, se ha utilizado para servir cargas útiles adicionales como DanaBot, SystemBC y RedLine Stealer en los últimos meses. También ha sido utilizado por un actor de amenazas rastreado como TA544 para distribuir Remcos RAT y SystemBC mediante ataques de phishing.
La campaña de phishing – revelado por primera vez por CERT-UA a principios de enero de 2024: implica el uso de señuelos con temas de guerra como punto de partida para iniciar una cadena de infección que conduzca al despliegue de IDAT Loader, que, a su vez, utiliza un PNG esteganográfico integrado para localizar y extraer Remcos. RATA.
El desarrollo surge como CERT-UA. reveló que las fuerzas de defensa del país han sido atacadas a través de la aplicación de mensajería instantánea Signal para distribuir un documento de Microsoft Excel con trampa explosiva que ejecuta COOKBOX, un malware basado en PowerShell que es capaz de cargar y ejecutar cmdlets. CERT-UA ha atribuido la actividad a un grupo denominado UAC-0149.
También sigue al resurgimiento de campañas de malware que propagan el malware PikaBot desde el 8 de febrero de 2024, utilizando una variante actualizada que parece estar actualmente en desarrollo activo.
“Esta versión del cargador PikaBot utiliza un nuevo método de descompresión y una gran ofuscación”, Elastic Security Labs dicho. “El módulo principal ha agregado una nueva implementación de descifrado de cadenas, cambios en la funcionalidad de ofuscación y varias otras modificaciones”.