El actor de amenazas conocido como UAC-0099<\/strong> se ha relacionado con continuos ataques dirigidos a Ucrania, algunos de los cuales aprovechan una falla de alta gravedad en el software WinRAR para generar una cepa de malware llamada LONEPAGE.<\/p>\n “El actor de amenazas apunta a empleados ucranianos que trabajan para empresas fuera de Ucrania”, afirma la empresa de ciberseguridad Deep Instinct. dicho<\/a> en un an\u00e1lisis del jueves.<\/p>\n UAC-0099 fue documentado por primera vez por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) en junio de 2023, detallando sus ataques contra organizaciones estatales y entidades de medios por motivos de espionaje.<\/p>\n Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n <\/a> <\/p>\n Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n \u00danete ahora<\/a> <\/section>\n Las cadenas de ataque aprovecharon mensajes de phishing que conten\u00edan archivos adjuntos HTA, RAR y LNK que llevaron a la implementaci\u00f3n de P\u00c1GINA \u00daNICA<\/a>un malware de Visual Basic Script (VBS) que es capaz de contactar con un servidor de comando y control (C2) para recuperar cargas \u00fatiles adicionales, como registradores de pulsaciones, ladrones y malware de capturas de pantalla.<\/p>\n “Durante 2022-2023, el grupo mencionado recibi\u00f3 acceso remoto no autorizado a varias docenas de computadoras en Ucrania”, dijo CERT-UA en ese momento.<\/p>\n El \u00faltimo an\u00e1lisis de Deep Instinct revela que el uso de archivos adjuntos HTA es solo una de tres infecciones diferentes, las otras dos aprovechan archivos autoextra\u00edbles (SFX) y archivos ZIP con trampas, que explotan la vulnerabilidad WinRAR (CVE-2023). -38831, puntuaci\u00f3n CVSS: 7,8) para distribuir LONEPAGE.<\/p>\n En el primero, el archivo SFX alberga un acceso directo LNK que est\u00e1 disfrazado de un archivo DOCX para una citaci\u00f3n judicial mientras usa el \u00edcono de Microsoft WordPad para incitar a la v\u00edctima a abrirlo, lo que resulta en la ejecuci\u00f3n de c\u00f3digo PowerShell malicioso que elimina el malware LONEPAGE.<\/p>\n La otra secuencia de ataque utiliza un archivo ZIP especialmente dise\u00f1ado que es susceptible a CVE-2023-38831, y Deep Instinct encontr\u00f3 dos de esos artefactos creados por UAC-0099 el 5 de agosto de 2023, tres d\u00edas despu\u00e9s de que los mantenedores de WinRAR lanzaran un parche para el error.<\/p>\n “Las t\u00e1cticas utilizadas por ‘UAC-0099’ son simples pero efectivas”, dijo la compa\u00f1\u00eda. “A pesar de los diferentes vectores de infecci\u00f3n inicial, la infecci\u00f3n principal es la misma: dependen de PowerShell y de la creaci\u00f3n de una tarea programada que ejecuta un archivo VBS”.<\/p>\n El desarrollo surge como CERT-UA. prevenido<\/a> de una nueva ola de mensajes de phishing que supuestamente eran cuotas pendientes de Kyivstar para propagar un troyano de acceso remoto conocido como Remcos RAT. La agencia atribuy\u00f3 la campa\u00f1a a UAC-0050.<\/p>\n <\/p>\n![\"Vulnerabilidad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/UAC-0099-Uso-del-exploit-WinRAR-para-atacar-a-empresas-ucranianas.jpg\" "\\"Vulnerabilidad")
<\/a><\/div>\n<\/a><\/center><\/div>\n