Software malintencionado de PicassoLoader
Los expertos de Infosec han identificado una serie de campañas de ciberataques contra objetivos en Ucrania y Polonia. Los ciberdelincuentes se centran en comprometer a entidades gubernamentales, organizaciones militares y usuarios civiles. Estas campañas tienen como objetivo la obtención ilícita de datos sensibles y establecer un acceso remoto continuo a los sistemas comprometidos.
Abarcando un período de abril de 2022 a julio de 2023, esta campaña de intrusión utiliza varias tácticas. Se emplean señuelos de phishing y documentos señuelo para engañar a las víctimas y facilitar la implementación de un programa malicioso de descarga conocido como PicassoLoader. Este software amenazante sirve como puerta de entrada para lanzar otras herramientas inseguras, específicamente Cobalt Strike Beacon y njRAT .
Los señuelos de phishing son técnicas engañosas que se utilizan para engañar a las personas para que revelen información confidencial, como nombres de usuario, contraseñas o credenciales de cuentas. Los documentos señuelo son archivos disfrazados diseñados para parecer legítimos, pero en realidad contienen cargas útiles inseguras. Al atraer a las víctimas para que interactúen con estos documentos señuelo, los atacantes pueden ejecutar el descargador PicassoLoader en sus sistemas.
Una vez que PicassoLoader se implementa con éxito, sirve como conducto para la siguiente etapa del ataque. Permite la instalación y ejecución de dos tipos adicionales de malware: Cobalt Strike Beacon y njRAT. Cobalt Strike Beacon es una sofisticada herramienta de prueba de penetración que permite a los atacantes obtener acceso y control no autorizados sobre los sistemas comprometidos. En cuanto a njRAT, es un troyano de acceso remoto que proporciona a los atacantes acceso remoto no autorizado a los sistemas infectados, lo que les permite realizar actividades maliciosas sin ser detectados.
Tabla de contenido
El software malicioso PicassoLoader se implementa como parte de una cadena de infección de varias etapas
Los atacantes detrás de PicassoLoader utilizaron una cadena de infección de varias etapas para llevar a cabo sus actividades dañinas. La etapa inicial involucró el uso de documentos de Microsoft Office comprometidos, siendo los formatos de archivo de Microsoft Excel y PowerPoint los más empleados. Estos documentos sirven como punto de partida para el ataque.
Siguiendo los documentos de Office, un descargador ejecutable y una carga útil están ocultos dentro de un archivo de imagen. Esta táctica probablemente se empleó para hacer que la detección del descargador y la carga útil fuera más desafiante para los sistemas de seguridad. Al esconderse dentro de un archivo de imagen, los atacantes intentan eludir las medidas de seguridad y aumentar las posibilidades de una infiltración exitosa.
Algunos de estos ataques se han atribuido a un actor de amenazas conocido como GhostWriter, también rastreado como UAC-0057 o UNC1151. Se cree que las motivaciones y los objetivos de GhostWriter se alinean con los intereses del gobierno bielorruso.
Se han observado numerosos ataques dirigidos contra Ucrania
Vale la pena mencionar que un subconjunto de estos ataques ya había sido documentado durante el año pasado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA). Un ejemplo notable ocurrió en julio de 2022, donde se emplearon documentos de PowerPoint cargados de macros para entregar el malware Agent Tesla . Este incidente destacó el uso de macros como un medio para distribuir malware y comprometer los sistemas de las víctimas.
Las cadenas de infección utilizadas en estos ataques se basan en métodos de ingeniería social para convencer a las víctimas de habilitar macros en los documentos de Office. Una vez que se habilitan las macros, se activa una macro de VBA, lo que lleva a la implementación de la amenaza del descargador de DLL PicassoLoader. Este descargador luego establece una conexión con un sitio controlado por los atacantes para recuperar la carga útil de la siguiente etapa, que está incrustada dentro de un archivo de imagen aparentemente legítimo. El malware final se oculta dentro de este archivo de imagen.
Estas divulgaciones recientes de CERT-UA coinciden con sus informes sobre varias operaciones de phishing que distribuyen el malware SmokeLoader. Además, se identificó un ataque de smishing dirigido a los usuarios de Telegram con el objetivo de obtener un control no autorizado de sus cuentas.
GhostWriter es solo uno de los grupos de delitos cibernéticos que apuntan a Ucrania
Ucrania se ha convertido en un objetivo para múltiples actores de amenazas, incluido el notorio grupo de estado-nación ruso APT28 . Se ha observado que APT28 emplea una táctica de envío de correos electrónicos de phishing con archivos adjuntos HTML, engañando a los destinatarios haciéndoles creer que hay actividad sospechosa en su UKR.NET y Yahoo! cuentas Los correos electrónicos solicitan a los usuarios que cambien sus contraseñas pero, en cambio, los llevan a páginas de destino falsas diseñadas para recopilar sus credenciales de inicio de sesión.
Este desarrollo reciente es parte de un patrón más amplio observado en las actividades de los piratas informáticos asociados con la inteligencia militar rusa (GRU). Han adoptado un "libro de jugadas estándar de cinco fases" en sus operaciones disruptivas contra Ucrania, lo que demuestra un esfuerzo deliberado para mejorar la velocidad, la escala y la intensidad de sus ataques.
