El actor de amenazas conocido como UAC-0050 est\u00e1 aprovechando los ataques de phishing para distribuir Remcos RAT utilizando nuevas estrategias para evadir la detecci\u00f3n del software de seguridad.<\/p>\n
“El arma preferida del grupo es Remcos RAT, un notorio malware para vigilancia y control remotos, que ha estado a la vanguardia de su arsenal de espionaje”, dijeron los investigadores de seguridad de Uptycs Karthickkumar Kathiresan y Shilpesh Trivedi. dicho<\/a> en un informe del mi\u00e9rcoles.<\/p>\n “Sin embargo, en su \u00faltimo giro operativo, el grupo UAC-0050 ha integrado un m\u00e9todo de tuber\u00eda para comunicaci\u00f3n entre procesos<\/a>mostrando su adaptabilidad avanzada.”<\/p>\n UAC-0050, activo desde 2020, tiene un historial de apuntar a entidades ucranianas y polacas a trav\u00e9s de campa\u00f1as de ingenier\u00eda social que se hacen pasar por organizaciones leg\u00edtimas para enga\u00f1ar a los destinatarios para que abran archivos adjuntos maliciosos.<\/p>\n En febrero de 2023, el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) atribuy\u00f3 al adversario a una campa\u00f1a de phishing dise\u00f1ada para entregar Remcos RAT.<\/p>\n En los \u00faltimos meses, el mismo troyano se ha distribuido como parte de al menos tres oleadas de phishing diferentes, y uno de esos ataques tambi\u00e9n condujo al despliegue de un ladr\u00f3n de informaci\u00f3n llamado Meduza Stealer.<\/p>\n El an\u00e1lisis de Uptycs se basa en un archivo LNK que descubri\u00f3 el 21 de diciembre de 2023. Si bien actualmente se desconoce el vector de acceso inicial exacto, se sospecha que involucr\u00f3 correos electr\u00f3nicos de phishing dirigidos a personal militar ucraniano que afirma anunciar funciones de consultor\u00eda en las Fuerzas de Defensa de Israel. (FDI).<\/p>\n El archivo LNK en cuesti\u00f3n recopila informaci\u00f3n sobre los productos antivirus instalados en la computadora de destino y luego procede a recuperar y ejecutar una aplicaci\u00f3n HTML llamada “6.hta” desde un servidor remoto usando mshta.exe<\/a>un binario nativo de Windows para ejecutar archivos HTA.<\/p>\n Este paso allana el camino para un script de PowerShell que descomprime otro script de PowerShell para descargar dos archivos llamados “word_update.exe” y “ofer.docx” del dominio new-tech-savvy.[.]com.<\/p>\n La ejecuci\u00f3n de word_update.exe hace que cree una copia de s\u00ed mismo con el nombre fmTask_dbg.exe y establezca persistencia creando un acceso directo al nuevo ejecutable en la carpeta de inicio de Windows.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Grupo-UAC-0050-utiliza-nuevas-tacticas-de-phishing-para-distribuir-Remcos.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n