Una empresa de ciberseguridad ha revelado una campaña de phishing dirigida a empresas en Rusia y Moldavia por un grupo poco conocido llamado XDSpy. Según F.A.C.C.T., las cadenas de infección llevaron al malware denominado DSDownloader. El grupo XDSpy ha estado activo desde 2020, realizando ataques de robo de información en Europa del Este y los Balcanes. Utilizan correos electrónicos de spear-phishing para introducir el malware XDDown y así obtener información del sistema. Recientemente, atacaron a organizaciones rusas con el descargador UTask que descarga un módulo central de un servidor remoto.
Los ataques más recientes involucraron correos electrónicos de phishing con un archivo RAR que contenía un ejecutable legítimo y un archivo DLL malicioso. A través de técnicas de carga lateral, el DLL se ejecuta para descargar y ejecutar DSDownloader desde un servidor remoto. La guerra ruso-ucraniana ha visto un aumento significativo en los ciberataques, con empresas rusas comprometidas por varios grupos. Además, hacktivistas proucranianos también han llevado a cabo operaciones de hackeo y filtración contra entidades rusas.
El Equipo de Respuesta de Emergencia Informática de Ucrania (CERT-UA) advirtió sobre un aumento en los ataques de phishing realizados por un actor bielorruso llamado UAC-0057, distribuyendo malware llamado PicassoLoader. También se ha descubierto una nueva campaña del grupo Turla vinculada a Rusia que utiliza un archivo de acceso directo malicioso de Windows (LNK) para servir un backdoor sin archivo. Estos ataques demuestran un preocupante aumento en la actividad cibernética hostil en la región.
Vía The Hacker News
