El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) prevenido de una nueva campaña de phishing que se hace pasar por el Servicio de Seguridad de Ucrania para distribuir malware capaz de acceder a escritorios remotos.
La agencia rastrea esta actividad bajo el nombre UAC-0198. Se estima que más de 100 ordenadores han sido infectados desde julio de 2024, incluidos los vinculados a agencias gubernamentales del país.
Las cadenas de ataque implican la distribución masiva de correos electrónicos para entregar un archivo ZIP que contiene un archivo de instalación MSI, cuya apertura conduce a la implementación de un malware llamado ANONVNC.
ANONVNC, que se basa en una herramienta de gestión remota de código abierto llamada Agente de mallapermite el acceso sigiloso y no autorizado a hosts infectados.
El desarrollo surge como CERT-UA. asignado grupo de hackers UAC-0102 a ataques de phishing que difunden archivos adjuntos HTML que imitan la página de inicio de sesión de UKR.NET para robar credenciales de usuario.
En las últimas semanas, la agencia también advirtió sobre un aumento en las campañas que difunden el malware PicassoLoader con el objetivo final de implementar Cobalt Strike Beacon en sistemas comprometidos. Los ataques se han relacionado con un actor malicioso identificado como UAC-0057.
«Es razonable suponer que los objetos de interés del UAC-0057 podrían ser tanto los especialistas de las oficinas de proyectos como sus «contratistas» entre los empleados de los gobiernos locales pertinentes de Ucrania», dijo el CERT-UA. dicho.
