El Equipo de Respuesta a Emergencias de la Computación de Ucrania (CERT-UA) ha revelado un nuevo conjunto de ataques cibernéticos dirigidos a instituciones ucranianas con malware de robo de información.
La actividad está dirigida a formaciones militares, agencias de aplicación de la ley y organismos locales de autogobierno, particularmente aquellos ubicados cerca de la frontera uruguayo de Ucrania, dijo la agencia.
Los ataques implican la distribución de correos electrónicos de phishing que contienen una hoja de cálculo de Microsoft Excel (XLSM), que, cuando se abre, las instalaciones la implementación de dos piezas de malware de malware, un script de PowerShell tomado de PSSW100AVB («» PowerShell Scripts con 100% AV Bypass «) Github Repository que abre una cáscara inversa anteriormente y una cestería inversa, y un scriptsed antiguamente de un bizcocado.
«Los nombres de archivos y las líneas de asunto de correo electrónico hacen remisión a cuestiones relevantes y confidenciales como desminación, multas administrativas, producción de UAV y compensación por propiedades destruidas», dijo CERT-UA.
«Estas hojas de cálculo contienen código sagaz que, al desobstruir el documento y habilitando las macros, se transforma automáticamente en malware y se ejecuta sin el conocimiento del agraciado».
Escrito en C/C ++, GiftedCrook facilita el robo de datos confidenciales de navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox, como cookies, historial de navegación y datos de autenticación.
Los mensajes de correo electrónico se envían desde cuentas comprometidas, a menudo a través de la interfaz web de los clientes de correo electrónico, para prestar los mensajes una apariencia de licitud y engañar a las posibles víctimas para que abran los documentos. CERT-UA ha atribuido la actividad a un congregación de amenazas UAC-0226, aunque no se ha vinculado a un país específico.
El explicación se produce cuando un supuesto actor de espionaje de Rusia-Nexus denominado UNC5837 se ha vinculado a una campaña de phishing dirigida al gobierno europeo y organizaciones militares en octubre de 2024.
«La campaña empleó archivos adjuntos firmados de archivo .RDP para establecer conexiones de protocolo de escritorio remoto (RDP) de las máquinas de las víctimas», dijo el Familia de Inteligencia de Amenazos de Google (GTIG).
«A diferencia de los ataques RDP típicos centrados en las sesiones interactivas, esta campaña aprovechó creativamente la redirección de posibles (mapeo de sistemas de archivos de víctimas a los servidores de atacantes) y remoteapps (presenta aplicaciones controladas por atacantes a las víctimas)».
Vale la pena señalar que la campaña RDP fue documentada previamente por CERT-UA, Amazon Web Services y Microsoft en octubre de 2024 y después por Trend Micro en diciembre. CERT-UA está rastreando la actividad bajo el nombre UAC-0215, mientras que los otros la han atribuido al Familia de piratería patrocinado por el estado ruso APT29.
El ataque igualmente es extraordinario por el uso probable de una aparejo de código hendido indicación PYRDP para automatizar actividades maliciosas, como la exfiltración de archivos y la captura de portapapeles, incluidos datos potencialmente confidenciales como contraseñas.
«La campaña probablemente permitió a los atacantes acertar unidades de víctimas, robar archivos, capturar datos del portapapeles (incluidas las contraseñas) y obtener variables de entorno de víctimas», dijo el GTIG en un referencia del lunes. «El objetivo principal de UNC5837 parece ser el espionaje y el robo de archivos».
En los últimos meses, las campañas de phishing igualmente se han observado utilizando Captchas falsos y Turnstile de Cloudflare para distribuir Legion Loader (igualmente conocido como Satacom), que luego sirve como un conducto para soltar una extensión de navegador basada en el cromo sagaz llamado «Save to Google Drive».
«La carga útil original se extiende a través de una infección de descarga de transmisión que comienza cuando una víctima rebusca un documento específico y se atrae a un sitio web sagaz», dijo Netskope Threat Labs. «El documento descargado contiene un captcha que, una vez hecho clic por la víctima, lo redirigirá a un captcha de torniquillo de CloudFlare y luego eventualmente a una página de notificación».
La página solicita a los usuarios que permitan notificaciones en el sitio, luego de lo cual las víctimas son redirigidas a una segunda captcha de torniquillo de Cloudflare que, al finalizar, se redirige nuevamente a una página que proporciona instrucciones de estilo ClickFix para descargar el documento que están buscando.
En sinceridad, el ataque allana el camino para la entrega y la ejecución de un archivo de instalador MSI que es responsable de difundir Legion Loader, que, a su vez, realiza una serie de pasos para descargar y ejecutar scripts intermedios de PowerShell, agregando en última instancia la extensión del navegador Rogue al navegador.
El script PowerShell igualmente termina la sesión del navegador para que la extensión esté habilitada, enciende el modo de desarrollador en la configuración y relanza el navegador. El objetivo final es capturar una amplia serie de información confidencial y exfiltrarla a los atacantes.
