El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) prevenido Nuevos ataques de phishing destinados a infectar dispositivos con malware.
La actividad se ha rastreado hasta un grupo de amenazas al que rastrea como UAC-0020, también conocido como Vermin. Actualmente se desconocen la escala y el alcance exactos de los ataques.
Las cadenas de ataques comienzan con mensajes de phishing que contienen fotografías de supuestos prisioneros de guerra de la región de Kursk, instando a los destinatarios a hacer clic en un enlace a un archivo ZIP.
El archivo ZIP contiene un archivo de ayuda HTML compilado (CHM) de Microsoft que incorpora código JavaScript responsable de iniciar un script de PowerShell ofuscado.
“Al abrir el archivo se instalan componentes del software espía SPECTR, así como el nuevo malware llamado FIRMACHAGENT”, dijo CERT-UA. “El objetivo de FIRMACHAGENT es recuperar datos robados por SPECTR y enviarlos a un servidor de gestión remota. »
SPECTR es un malware conocido vinculado a Vermin desde 2019. Se cree que el grupo está vinculado a las agencias de seguridad de la República Popular de Luhansk (LPR).
A principios de junio, CERT-UA detalló otra campaña orquestada por actores de Vermin llamada SickSync que apuntaba a las fuerzas de defensa del país con SPECTR.
SPECTR es una herramienta integral diseñada para recopilar una amplia gama de información, incluidos archivos, capturas de pantalla, credenciales y datos de varias aplicaciones de mensajería instantánea como Element, Signal, Skype y Telegram.