Seg\u00fan el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA), se est\u00e1 utilizando una campa\u00f1a de phishing en curso con se\u00f1uelos con temas de facturas para distribuir el malware SmokeLoader en forma de archivo pol\u00edglota.<\/p>\n
Los correos electr\u00f3nicos, seg\u00fan el agencia<\/a>se env\u00edan utilizando cuentas comprometidas y vienen con un archivo ZIP que, en realidad, es un archivo pol\u00edglota que contiene un documento se\u00f1uelo y un archivo JavaScript.<\/p>\n Luego, el c\u00f3digo JavaScript se usa para lanzar un ejecutable que facilita la ejecuci\u00f3n del malware SmokeLoader. SmokeLoader, detectado por primera vez en 2011, es un cargador<\/a> cuyo objetivo principal es descargar o cargar malware m\u00e1s sigiloso o eficaz en los sistemas infectados.<\/p>\n CERT-UA atribuy\u00f3 la actividad a un actor de amenazas al que llama UAC-0006 y la caracteriz\u00f3 como una operaci\u00f3n con motivaci\u00f3n financiera realizada con el objetivo de robar credenciales y realizar transferencias de fondos no autorizadas.<\/p>\n En un aviso relacionado, la autoridad de ciberseguridad de Ucrania tambi\u00e9n revel\u00f3 detalles de ataques destructivos orquestados por un grupo conocido como UAC-0165 contra organizaciones del sector p\u00fablico.<\/p>\n El ataque, dirigido a una organizaci\u00f3n estatal no identificada, implic\u00f3 el uso de un nuevo malware de limpieza basado en secuencias de comandos por lotes llamado RoarBAT que realiza una b\u00fasqueda recursiva de archivos con una lista espec\u00edfica de extensiones y los elimina de forma irrevocable utilizando la utilidad leg\u00edtima WinRAR.<\/p>\n Esto, a su vez, se logr\u00f3 archivando los archivos identificados utilizando el Opci\u00f3n de l\u00ednea de comando “-df”<\/a> y posteriormente purgar los archivos creados. El script por lotes se ejecut\u00f3 mediante una tarea programada.<\/p>\n Simult\u00e1neamente, los sistemas Linux se vieron comprometidos mediante un script bash que aprovech\u00f3 la dd utilidad<\/a> para sobrescribir archivos con cero bytes, evitando efectivamente la detecci\u00f3n por parte del software de seguridad.<\/p>\n \u201cSe constat\u00f3 que la operatividad de las computadoras electr\u00f3nicas (equipos servidores, lugares de trabajo de usuarios automatizados, sistemas de almacenamiento de datos) se vio afectada como consecuencia del impacto destructivo realizado con el uso de software apropiado\u201d, CERT-UA dicho<\/a>.<\/p>\n “El acceso al objetivo ICS del ataque supuestamente se obtiene al conectarse a una VPN utilizando datos de autenticaci\u00f3n comprometidos. La implementaci\u00f3n exitosa del ataque fue facilitada por la falta de autenticaci\u00f3n de m\u00faltiples factores al realizar conexiones remotas a VPN”.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682938927_691_El-actor-de-amenazas-vietnamita-infecta-500000-dispositivos-usando-tacticas.png\")
<\/a><\/center><\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683536807_294_CERT-UA-advierte-sobre-ataques-de-malware-SmokeLoader-y-RoarBAT-contra.png\" "\\"Software")
<\/div>\n