L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a publié une alerte avertissant des cyberattaques contre les autorités étatiques du pays qui déploient un logiciel d’accès à distance légitime nommé Remcos.
La campagne de phishing de masse a été attribuée à un acteur menaçant qu’il suit comme UAC-0050l’agence décrivant l’activité comme probablement motivée par l’espionnage compte tenu de l’ensemble d’outils employés.
Les faux e-mails qui déclenchent la séquence d’infection prétendent provenir de la société de télécommunications ukrainienne Ukrtelecom et sont accompagnés d’une archive RAR leurre. Parmi les deux fichiers présents dans le fichier, l’un est une archive RAR protégée par mot de passe de plus de 600 Mo et l’autre est un fichier texte contenant le mot de passe pour ouvrir le fichier RAR.
Intégré dans la deuxième archive RAR se trouve un exécutable qui conduit à l’installation du logiciel d’accès à distance Remcos, accordant à l’attaquant un accès complet aux ordinateurs compromis réquisitionnés.
Remcosabréviation de logiciel de contrôle à distance et de surveillance, est proposé par Breaking Security soit gratuitement, soit en version premium qui coûte entre 58 € et 945 €.
La société italienne l’appelle un « outil d’administration à distance léger, rapide et hautement personnalisable avec un large éventail de fonctionnalités ».
Le dernier avis du CERT-UA intervient alors que le State Cyber Protection Center (SCPC) d’Ukraine a pointé du doigt un acteur menaçant parrainé par l’État russe connu sous le nom de Gamaredon pour ses attaques ciblées visant les autorités publiques et les infrastructures d’information critiques.