El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una advertencia sobre un malware llamado SPECTR que está siendo utilizado en ciberataques dirigidos a las fuerzas de defensa del país. Esta campaña de espionaje, denominada SickSync, ha sido atribuida a un actor de amenazas conocido como UAC-0020 o Vermin, presuntamente asociado con las agencias de seguridad de la República Popular de Lugansk (LPR).
Los ataques comienzan con correos electrónicos de spear-phishing que contienen un archivo RAR autoextraíble que a su vez incorpora un archivo PDF engañoso y una versión troyanizada de la aplicación SyncThing con la carga útil SPECTR, acompañada de un script por lotes para activar la infección.
SPECTR funciona como un roba-información realizando capturas de pantalla cada 10 segundos, recolectando archivos, obteniendo datos de unidades USB extraíbles, y robando credenciales y datos de navegadores web y aplicaciones como Element, Signal, Skype y Telegram.
Además, SickSync marca el regreso del grupo Vermin, que anteriormente llevó a cabo campañas de phishing dirigidas a entidades estatales de Ucrania en marzo de 2022. Este grupo ha utilizado el malware SPECTR desde 2019, y también se le conoce por utilizar un troyano de acceso remoto .NET llamado Vermin desde hace aproximadamente ocho años.
El informe de CERT-UA coincide con advertencias sobre ataques de ingeniería social que se valen de Signal como un vector para distribuir un troyano de acceso remoto denominado DarkCrystal RAT, vinculado a un grupo con el código UAC-0200. Asimismo, se ha descubierto una campaña de malware perpetrada por hackers patrocinados por el estado de Bielorrusia, GhostWriter, que emplea documentos de Microsoft Excel para atacar al Ministerio de Defensa de Ucrania.
En resumen, el organismo ha observado un incremento en la intensidad de los ciberataques mediante mensajeros y cuentas legítimas comprometidas, lo que subraya la importancia de la seguridad cibernética en el contexto actual.
Vía The Hacker News
