El equipo de respuesta a emergencias inform\u00e1ticas de Ucrania (CERT-UA) ha revelado que se registraron no menos de tres ataques cibern\u00e9ticos contra los organismos de la administraci\u00f3n estatal y las instalaciones de infraestructura cr\u00edtica en el pa\u00eds con el objetivo de robar datos confidenciales.<\/p>\n
La campa\u00f1a, la agencia dicho<\/a>implic\u00f3 el uso de cuentas de correo electr\u00f3nico comprometidas para enviar mensajes de phishing que contienen enlaces que apuntan a servicios leg\u00edtimos como DropMefiles y Google Drive. En algunos casos, los enlaces est\u00e1n integrados dentro de los accesorios PDF.<\/p>\n Las misivas digitales buscaron inducir una falsa sensaci\u00f3n de urgencia al afirmar que una agencia gubernamental ucraniana planeaba reducir los salarios, instando al destinatario a hacer clic en el enlace para ver la lista de empleados afectados.<\/p>\n Visitar estos enlaces conduce a la descarga de un cargador de script de Visual Basic (VBS) dise\u00f1ado para obtener y ejecutar un script PowerShell capaz de cosechar archivos que coinciden con un conjunto espec\u00edfico de extensiones y capturar capturas de pantalla.<\/p>\n Se dice que la actividad, atribuida a un cl\u00faster de amenazas rastreado como UAC-0219, estaba en curso desde al menos el oto\u00f1o de 2024, con iteraciones tempranas utilizando una combinaci\u00f3n de binarios EXE, un robador de VBS y un software leg\u00edtimo editor de im\u00e1genes llamado Irfanview para realizar sus objetivos.<\/p>\n CERT-UA le ha dado al cargador VBS y al malware PowerShell, el apodo de WreckSteel. Los ataques no se han atribuido a ning\u00fan pa\u00eds.<\/p>\n El desarrollo se produce cuando Kaspersky advirti\u00f3 que el actor de amenaza conocido como jefe de yegua ha atacado a varias entidades rusas con un malware conocido como Fantompir\u00e1mida<\/a> Eso es capaz de procesar instrucciones emitidas por el operador en un servidor de comando y control (C2), as\u00ed como descargar y ejecutar cargas \u00fatiles adicionales como Meshagent.<\/p>\n Las compa\u00f1\u00edas de energ\u00eda rusas, las empresas industriales y los proveedores y desarrolladores de las organizaciones de componentes electr\u00f3nicos tambi\u00e9n han recibido los ataques de phishing de la amenaza montados por un actor de amenaza con nombre en c\u00f3digo Unicornio<\/a> Eso dej\u00f3 caer un VBS Trojan dise\u00f1ado para desviar archivos e im\u00e1genes de hosts infectados.<\/p>\n A fines del mes pasado, Seqrite Labs revel\u00f3 que las redes acad\u00e9micas, gubernamentales, aeroespaciales y relacionadas con la defensa en Rusia est\u00e1n siendo atacadas por documentos de se\u00f1uelo armados, probablemente enviados a trav\u00e9s de correos electr\u00f3nicos de phishing, como parte de una campa\u00f1a doblada por la Operaci\u00f3n Hollowquill. Se cree que los ataques comenzaron alrededor de diciembre de 2024.<\/p>\n La actividad hace uso de t\u00e1cticas de ingenier\u00eda social, disfrazando los PDF con malware como invitaciones de investigaci\u00f3n y comunicadas gubernamentales para atraer a los usuarios desprevenidos a desencadenar la cadena de ataque.<\/p>\n “La entidad de amenaza entrega un archivo rar malicioso que contiene un gotero de malware .NET, que deja caer un cargador de shellcode basado en Golang junto con la aplicaci\u00f3n OneDrive leg\u00edtima y un PDF basado en se\u00f1uelo con una carga \u00fatil final de Cobalt Strike”, el investigador de seguridad Subhajeet Singha dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/CERT-UA-informa-CyberAtacks-dirigidos-a-sistemas-estatales-ucranianos-con-malware.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n