Home Ciberguerra Ciberdelincuentes rusos de Sandworm, se hacen pasar por las telecomunicaciones ucranianas, para...

Ciberdelincuentes rusos de Sandworm, se hacen pasar por las telecomunicaciones ucranianas, para distribuir malware

Un grupo de amenazas vinculado al actor ruso de estado-nación, rastreado como Sandworm, ha continuado su objetivo de Ucrania con malware de productos básicos, haciéndose pasar por proveedores de telecomunicaciones, según muestran los nuevos hallazgos.

Recorded Future dijo que descubrió una nueva infraestructura perteneciente a UAC-0113 que imita a operadores como Datagroup y EuroTransTelecom para entregar cargas útiles como Colibri loader y Warzone RAT.

Se dice que los ataques son una expansión de la misma campaña que anteriormente distribuyó DCRat (o DarkCrystal RAT) utilizando correos electrónicos de phishing con señuelos de temática de ayuda legal contra proveedores de telecomunicaciones en Ucrania.

“La transición de DarkCrystal RAT a Colibri Loader y Warzone RAT demuestra el uso cada vez más amplio, pero continuo, de UAC-0113 de malware disponible públicamente”, dijo Recorded Future.

Los ataques implican que los dominios fraudulentos alojan una página web supuestamente sobre la “Administración Militar Regional de Odesa”, mientras que una carga útil de imagen ISO codificada se despliega sigilosamente a través de una técnica conocida como contrabando de HTML.

El contrabando de HTML, como su nombre indica, es una técnica de distribución de malware evasiva que aprovecha las características legítimas de HTML y JavaScript para distribuir el malware y eludir los controles de seguridad convencionales.

Recorded Future también dijo que identificó puntos de similitud con otro archivo adjunto HTML dropper puesto en uso por el actor de la amenaza APT29 en una campaña dirigida a las misiones diplomáticas occidentales entre mayo y junio de 2022.