El grupo UAC-0226 utiliza archivos de Excel maliciosos para distribuir el malware GIFTEDCROOK en ataques dirigidos a Ucrania

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha descubierto una nueva oleada de ciberataques dirigidos contra instituciones del país, utilizando malware diseñado para robar información sensible.

Esta campaña está enfocada en objetivos como fuerzas armadas, agencias policiales y administraciones locales, especialmente aquellas situadas cerca de la frontera oriental de Ucrania, según indicó la entidad.

Los ataques se llevan a cabo a través del envío de correos electrónicos de phishing que contienen hojas de cálculo de Microsoft Excel con macros habilitadas (XLSM). Al abrir estos archivos, se ejecutan dos tipos de malware: un script de PowerShell extraído del repositorio de GitHub “PSSW100AVB” (PowerShell Scripts With 100% AV Bypass), que lanza una shell inversa, y un nuevo ladrón de datos llamado GIFTEDCROOK.

CERT-UA señaló que los nombres de los archivos adjuntos y los asuntos de los correos están relacionados con temas sensibles y actuales, como el desminado, sanciones administrativas, producción de drones y compensaciones por propiedades destruidas.

Estas hojas de cálculo incluyen código malicioso que se activa automáticamente al habilitar las macros, sin que el usuario lo note.

El malware GIFTEDCROOK, desarrollado en C/C++, está diseñado para robar información almacenada en navegadores como Google Chrome, Microsoft Edge y Mozilla Firefox, incluyendo cookies, historial de navegación y credenciales de acceso.

Los correos electrónicos maliciosos son enviados desde cuentas previamente comprometidas, generalmente a través de interfaces web de clientes de correo, lo que les otorga una apariencia legítima. CERT-UA atribuye esta actividad al grupo UAC-0226, sin una asociación confirmada a un país específico.

Este descubrimiento llega después de que el grupo UNC5837, presuntamente vinculado a Rusia, llevara a cabo en octubre de 2024 una campaña de phishing contra entidades gubernamentales y militares europeas.

Según el Grupo de Inteligencia de Amenazas de Google (GTIG), dicha operación utilizó archivos adjuntos con extensión .RDP firmados digitalmente, permitiendo establecer conexiones mediante el Protocolo de Escritorio Remoto (RDP) desde los dispositivos de las víctimas.

A diferencia de ataques RDP tradicionales que requieren interacción, esta campaña utilizó técnicas como la redirección de recursos (mapeo de discos locales a los servidores del atacante) y RemoteApps (presentación de aplicaciones maliciosas como legítimas).

CERT-UA, Amazon Web Services y Microsoft documentaron esta campaña en octubre de 2024, seguida por Trend Micro en diciembre. CERT-UA la clasifica como UAC-0215, mientras que otras fuentes la vinculan al grupo ruso APT29.

Se sospecha que los atacantes emplearon una herramienta de código abierto llamada PyRDP, capaz de automatizar el robo de archivos, capturar el portapapeles y extraer datos confidenciales como contraseñas.

“Los atacantes probablemente lograron leer discos, robar archivos y acceder a variables del sistema”, explicó el GTIG, que destaca el espionaje y la sustracción de documentos como los objetivos principales de UNC5837.

En meses recientes, también se han identificado campañas de phishing que utilizan CAPTCHA falsos y Cloudflare Turnstile para propagar Legion Loader (también conocido como Satacom), una puerta de entrada para instalar una extensión maliciosa basada en Chromium llamada “Guardar en Google Drive”.

Según Netskope Threat Labs, estas infecciones comienzan cuando una víctima busca un documento específico en línea y termina en un sitio malicioso. Allí se presenta un CAPTCHA falso que lleva a otro de Cloudflare Turnstile y, posteriormente, a una página con instrucciones engañosas tipo ClickFix para descargar el supuesto documento.

Lo que realmente ocurre es que se descarga un instalador MSI que ejecuta Legion Loader. Este a su vez descarga y ejecuta scripts de PowerShell que finalmente añaden la extensión maliciosa al navegador.

El script también cierra el navegador, activa el modo desarrollador en la configuración y lo reinicia para habilitar la extensión, con el objetivo final de robar información sensible del usuario y enviarla a los atacantes.

Fuente:https://thehackernews.com/

You May Also Like

Un tribunal de EE. UU. ordena al grupo NSO entregar el código de software espía Pegasus a WhatsApp

Interpol desactiva más de 22.000 servidores maliciosos en una operación global contra el crimen cibernético.

¿Has recibido un correo desde tu misma dirección chantajeándote?