El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una advertencia sobre una nueva campaña de phishing que se hace pasar por el Servicio de Seguridad de Ucrania para distribuir malware capaz de acceder de forma remota al escritorio. Esta campaña de phishing, denominada UAC-0198, ha afectado a más de 100 computadoras desde julio de 2024, incluyendo dispositivos relacionados con entidades gubernamentales en el país.
Según CERT-UA, los ataques involucran la distribución masiva de correos electrónicos que contienen un archivo ZIP con un instalador MSI que, al abrirse, instala el malware ANONVNC. Basado en MeshAgent, una herramienta de gestión remota de código abierto, ANONVNC permite el acceso no autorizado a los sistemas infectados de forma sigilosa.
Esta actividad se suma a la atribución por parte de CERT-UA al grupo de piratas informáticos UAC-0102 de los ataques de phishing que distribuyen archivos HTML diseñados para parecer la página de inicio de sesión de UKR.NET con el fin de robar credenciales de usuarios.
Además, la agencia ha alertado sobre un aumento en las campañas de distribución del malware PicassoLoader, que tiene como objetivo final desplegar Cobalt Strike Beacon en sistemas comprometidos. Estos ataques han sido atribuidos a un actor de amenazas conocido como UAC-0057.
En las palabras de CERT-UA, «Cabe suponer razonablemente que los objetos de interés de UAC-0057 podrían ser tanto especialistas de las oficinas de proyectos como sus ‘contratistas’ entre los empleados de los gobiernos locales relevantes de Ucrania.»
Vía The Hacker News
