Se ha identificado al actor de amenazas conocido como UAC-0099 como responsable de una serie de ataques dirigidos a empresas ucranianas y que emplean una falla de alta severidad en el software WinRAR para distribuir el malware LONEPAGE.
La firma de seguridad cibernética Deep Instinct ha explicado en un análisis publicado el jueves que este actor busca atacar a empleados ucranianos que trabajan para empresas extranjeras.
La entidad CERT-UA de Ucrania documentó a UAC-0099 por primera vez en junio de 2023, detallando sus ataques contra organizaciones estatales y entidades de medios por motivos de espionaje.
En los ataques se utilizan mensajes de phishing que contienen archivos HTA, RAR y LNK, los cuales conducen a la implementación de LONEPAGE, un malware de Visual Basic Script (VBS) capaz de contactar con un servidor de comando y control (C2) para recibir cargas adicionales como registradores de pulsaciones, ladrones de información y malware de capturas de pantalla.
Según lo comunicado por el CERT-UA en ese momento: «Durante 2022-2023, el grupo mencionado tuvo acceso remoto no autorizado a varias decenas de computadoras en Ucrania».
El último informe de Deep Instinct revela que el uso de archivos HTA es solo uno de los tres vectores de infección diferentes. Los otros dos vectores de infección utilizan archivos autoextraíbles (SFX) y archivos ZIP maliciosos. Los archivos ZIP explotan la vulnerabilidad de WinRAR (CVE-2023-38831, puntaje de CVSS: 7.8) para distribuir LONEPAGE.
En el primer caso, el archivo SFX contiene un acceso directo LNK que se disfraza como un archivo DOCX para una citación judicial, mientras utiliza el icono de Microsoft WordPad para incitar a la víctima a abrirlo, lo que resulta en la ejecución de código PowerShell malicioso que deja el malware LONEPAGE.
La otra secuencia de ataque utiliza un archivo ZIP especialmente diseñado que es vulnerable a CVE-2023-38831, y en la que Deep Instinct ha encontrado dos artefactos creados por UAC-0099 el 5 de agosto de 2023, tres días después de que los desarrolladores de WinRAR lanzaran un parche para la falla.
«Las tácticas utilizadas por ‘UAC-0099’ son simples pero efectivas», dijo la compañía. «A pesar de los diferentes vectores de infección inicial, la infección principal es la misma: confían en PowerShell y en la creación de una tarea programada que ejecuta un archivo VBS».
Cabe destacar que esto sucede al mismo tiempo que CERT-UA advirtió de una nueva ola de mensajes de phishing que afirman ser de Kyivstar que buscan propagar el troyano de acceso remoto conocido como Remcos RAT. La agencia atribuyó la campaña a UAC-0050.
