el más reciente

― Advertisement ―

Relacionada

La nueva puerta trasera .NET CAPI apunta a empresas automotrices y...

Investigadores de ciberseguridad han arrojado luz sobre una nueva campaña que probablemente se haya dirigido a los sectores del automóvil y del comercio electrónico...
spot_img
HomeTecnologíaCERT-UA informa CyberAtacks dirigidos a sistemas estatales ucranianos con malware WreckSteel

CERT-UA informa CyberAtacks dirigidos a sistemas estatales ucranianos con malware WreckSteel

El equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) ha revelado que se registraron no menos de tres ataques cibernéticos contra los organismos de la filial estatal y las instalaciones de infraestructura crítica en el país con el objetivo de robar datos confidenciales.

La campaña, dijo la agencia, implicó el uso de cuentas de correo electrónico comprometidas para remitir mensajes de phishing que contienen enlaces que apuntan a servicios legítimos como DropMefiles y Google Drive. En algunos casos, los enlaces están integrados interiormente de los accesorios PDF.

Las misivas digitales buscaron inducir una falsa sensación de necesidad al afirmar que una agencia ministerial ucraniana planeaba achicar los salarios, instando al destinatario a hacer clic en el enlace para ver la nómina de empleados afectados.

Saludar estos enlaces conduce a la descarga de un cargador de script de Visual Basic (VBS) diseñado para obtener y ejecutar un script PowerShell capaz de cosechar archivos que coinciden con un conjunto específico de extensiones y capturar capturas de pantalla.

Se dice que la actividad, atribuida a un clúster de amenazas rastreado como UAC-0219, estaba en curso desde al menos el otoño de 2024, con iteraciones tempranas utilizando una combinación de binarios EXE, un robador de VBS y un software oficial editor de imágenes llamado Irfanview para realizar sus objetivos.

CERT-UA le ha cubo al cargador VBS y al malware PowerShell, el apodo de WreckSteel. Los ataques no se han atribuido a ningún país.

Los ataques cibernéticos siguen el descubrimiento de una campaña de phishing que se ha centrado en la defensa y las entidades aeroespaciales con vínculos con el conflicto en curso en Ucrania para cosechar credenciales de correo web a través de páginas de inicio de sesión falsas.

Leer  Más de 80,000 cuentas de ID de Microsoft Entra dirigidas con la herramienta de Filtración Team de código abierto

“Los atacantes parecen favor construido la página usando Mailu, un software de servidor de correo de código campechano apto en GitHub”, dijo el equipo de Investigaciones de Domaintaols (DTI).

“El enfoque en la falsificación de organizaciones involucradas en la infraestructura de defensa y telecomunicaciones de Ucrania sugiere adicionalmente una intención de reunir inteligencia relacionada con el conflicto en Ucrania. En particular, muchas de la defensa falsificada, las compañías aeroespaciales y de TI han brindado apoyo a los esfuerzos militares de Ucrania en su conflicto con Rusia”.

Ciberataques dirigidos a ucranianos

Asimismo se han observado conjuntos de intrusiones alineados en Rusia como UAC-0050 y UAC-0006 todavía se han observado que llevan a extremo campañas de spam motivadas financieramente y de espionaje desde el principio de 2025, principalmente apuntando a varios verticales, como gobiernos, defensa, energía y ONG, para distribuir familias de malware como SLOAD, REMCOS RAT, NETSUPORT RAT y SMOKELOADER.

El avance se produce cuando Kaspersky advirtió que el actor de amenaza conocido como caudillo de potranca ha atacado a varias entidades rusas con un malware conocido como fantompyramid que es capaz de procesar instrucciones emitidas por el cámara sobre un servidor de comando y control (C2), así como descargar y ejecutar cargas adicionales como Meshagent.

Las compañías de energía rusas, las empresas industriales y los proveedores y desarrolladores de las organizaciones de componentes electrónicos todavía han estado en el extremo receptor de los ataques de phishing montados por un actor de amenaza con nombre en código Unicorn que dejó caer un VBS Troya diseñado para desviar archivos e imágenes de anfitriones infectados.

A fines del mes pasado, Seqrite Labs reveló que las redes académicas, gubernamentales, aeroespaciales y relacionadas con la defensa en Rusia están siendo atacadas por documentos de señuelo armados, probablemente enviados a través de correos electrónicos de phishing, como parte de una campaña doblada por la Operación Hollowquill. Se cree que los ataques comenzaron más o menos de diciembre de 2024.

PDF con malware

La actividad hace uso de tácticas de ingeniería social, disfrazando los PDF con malware como invitaciones de investigación y comunicadas gubernamentales para atraer a los usuarios desprevenidos a desencadenar la condena de ataque.

Leer  CISA Flags Meteobridge CVE-2025-4008 defecto como explotado activamente en la naturaleza

“La entidad de amenaza ofrece un archivo RAR pillo que contiene un cuentagotas de malware .NET, que deja caer aún más un cargador de shellcode basado en Golang yuxtapuesto con la aplicación OneDrive legítima y un PDF basado en señuelo con una carga útil final de Cobalt Strike”, dijo el investigador de seguridad Subhajeet Singha.

El más popular

spot_img