El equipo de respuesta a emergencias inform\u00e1ticas de Ucrania (CERT-UA) tiene revel\u00f3<\/a> Un nuevo conjunto de ataques cibern\u00e9ticos dirigidos a instituciones ucranianas con malware que roba informaci\u00f3n.<\/p>\n La actividad est\u00e1 dirigida a formaciones militares, agencias de aplicaci\u00f3n de la ley y organismos locales de autogobierno, particularmente aquellos ubicados cerca de la frontera oriental de Ucrania, dijo la agencia.<\/p>\n Los ataques implican distribuir correos electr\u00f3nicos de phishing que contienen una hoja de c\u00e1lculo de Microsoft Excel (XLSM), que, cuando se abre, las instalaciones del despliegue de dos piezas de malware, un script de PowerShell tomado del PSSW100AVB<\/a> (“PowerShell scripts con 100% AV Bypass”) Repositorio de GitHub que abre una carcasa inversa, y un robador previamente indocumentado denominado GetTedCrook.<\/p>\n “Los nombres de archivos y las l\u00edneas de asunto de correo electr\u00f3nico hacen referencia a cuestiones relevantes y confidenciales como desminaci\u00f3n, multas administrativas, producci\u00f3n de UAV y compensaci\u00f3n por propiedades destruidas”, dijo CERT-UA.<\/p>\n “Estas hojas de c\u00e1lculo contienen c\u00f3digo malicioso que, al abrir el documento y habilitando las macros, se transforma autom\u00e1ticamente en malware y se ejecuta sin el conocimiento del usuario”.<\/p>\n Escrito en C\/C ++, GiftedCrook facilita el robo de datos confidenciales de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox, como cookies, historial de navegaci\u00f3n y datos de autenticaci\u00f3n.<\/p>\n Los mensajes de correo electr\u00f3nico se env\u00edan desde cuentas comprometidas, a menudo a trav\u00e9s de la interfaz web de los clientes de correo electr\u00f3nico, para prestar los mensajes una apariencia de legitimidad y enga\u00f1ar a las posibles v\u00edctimas para que abran los documentos. CERT-UA ha atribuido la actividad a un grupo de amenazas UAC-0226, aunque no se ha vinculado a un pa\u00eds espec\u00edfico.<\/p>\n El desarrollo se produce cuando un presunto actor de espionaje de Rusia-Nexus denominado UNC5837 se ha vinculado a una campa\u00f1a de phishing dirigida al gobierno europeo y organizaciones militares en octubre de 2024.<\/p>\n “La campa\u00f1a empleada accesorios de archivo .RDP firmados para establecer conexiones de protocolo de escritorio remoto (RDP) de las m\u00e1quinas de las v\u00edctimas”, el Grupo de Inteligencia de Amenazos de Google (GTIG) dicho<\/a>.<\/p>\n “A diferencia de los ataques RDP t\u00edpicos centrados en las sesiones interactivas, esta campa\u00f1a aprovech\u00f3 creativamente la redirecci\u00f3n de recursos (mapeo de sistemas de archivos de v\u00edctimas a los servidores de atacantes) y remoteapps (presenta aplicaciones controladas por atacantes a las v\u00edctimas)”.<\/p>\n Vale la pena se\u00f1alar que la campa\u00f1a RDP fue documentada previamente por CERT-UA, Amazon Web Services y Microsoft en octubre de 2024 y posteriormente por Trend Micro en diciembre. CERT-UA est\u00e1 rastreando la actividad bajo el nombre UAC-0215, mientras que los otros la han atribuido al Grupo de pirater\u00eda patrocinado por el estado ruso APT29.<\/p>\n El ataque tambi\u00e9n es notable por el uso probable de una herramienta de c\u00f3digo abierto llamada PYRDP para automatizar actividades maliciosas, como la exfiltraci\u00f3n de archivos y la captura de portapapeles, incluidos datos potencialmente confidenciales como contrase\u00f1as.<\/p>\n “La campa\u00f1a probablemente permiti\u00f3 a los atacantes leer unidades de v\u00edctimas, robar archivos, capturar datos del portapapeles (incluidas las contrase\u00f1as) y obtener variables de entorno de v\u00edctimas”, dijo el GTIG en un informe del lunes. “El objetivo principal de UNC5837 parece ser el espionaje y el robo de archivos”.<\/p>\n En los \u00faltimos meses, las campa\u00f1as de phishing tambi\u00e9n se han observado utilizando Captchas falsos<\/a> y Cloudflare Turnstile para distribuir Legion Loader (tambi\u00e9n conocido como Satacom), que luego sirve como un conducto para soltar una extensi\u00f3n de navegador maliciosa basada en el cromo llamado “Guardar en Google Drive”.<\/p>\n “La carga \u00fatil inicial se extiende a trav\u00e9s de una infecci\u00f3n de descarga de transmisi\u00f3n que comienza cuando una v\u00edctima busca un documento espec\u00edfico y se atrae a un sitio web malicioso”, Netskope Threat Labs dicho<\/a>. “El documento descargado contiene un captcha que, una vez hecho clic por la v\u00edctima, lo redirigir\u00e1 a un captcha de torniquillo de CloudFlare y luego eventualmente a una p\u00e1gina de notificaci\u00f3n”.<\/p>\n La p\u00e1gina solicita a los usuarios que permitan notificaciones en el sitio, despu\u00e9s de lo cual las v\u00edctimas son redirigidas a una segunda captcha de torniquillo de Cloudflare que, al finalizar, se redirige nuevamente a una p\u00e1gina que proporciona instrucciones de estilo ClickFix para descargar el documento que est\u00e1n buscando.<\/p>\n En realidad, el ataque allana el camino para la entrega y la ejecuci\u00f3n de un archivo de instalador MSI que es responsable de lanzar Legion Loader, que, a su vez, realiza una serie de pasos para descargar y ejecutar scripts intermedios de PowerShell, agregando en \u00faltima instancia la extensi\u00f3n del navegador Rogue al navegador.<\/p>\n El script PowerShell tambi\u00e9n termina la sesi\u00f3n del navegador para que la extensi\u00f3n est\u00e9 habilitada, enciende el modo de desarrollador en la configuraci\u00f3n y relanza el navegador. El objetivo final es capturar una amplia gama de informaci\u00f3n confidencial y exfiltrarla a los atacantes.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/UAC-0226-implementa-GifteedCrook-Stealer-a-traves-de-archivos-de-Excel.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n