Home Ciberguerra Ciberdelincuentes prorrusos aprovechan la reciente vulnerabilidad de WinRAR en una nueva campaña

Ciberdelincuentes prorrusos aprovechan la reciente vulnerabilidad de WinRAR en una nueva campaña

Grupos de piratas informáticos prorrusos han explotado una vulnerabilidad de seguridad recientemente revelada en la utilidad de archivo WinRAR como parte de una campaña de phishing diseñada para recolectar credenciales de sistemas comprometidos.

El archivo contiene un archivo PDF con trampa explosiva que, al hacer clic en él, hace que se ejecute un script de Windows Batch, que inicia comandos de PowerShell para abrir un shell inverso que le da al atacante acceso remoto al host objetivo.

También se implementa un script de PowerShell que roba datos, incluidas las credenciales de inicio de sesión, de los navegadores Google Chrome y Microsoft Edge. La información capturada se extrae a través de un sitio de webhook[.]de servicio web legítimo.

CVE-2023-38831 hace referencia a una falla de alta gravedad en WinRAR que permite a los atacantes ejecutar código arbitrario al intentar ver un archivo benigno dentro de un archivo ZIP. Los hallazgos de Group-IB en agosto de 2023 revelaron que el error se había utilizado como arma de día cero desde abril de 2023 en ataques dirigidos a comerciantes.

El desarrollo se produce cuando Mandiant, propiedad de Google, registró las operaciones de phishing de “rápida evolución” del actor estado-nación ruso APT29 dirigidas a entidades diplomáticas en medio de un aumento en el ritmo y un énfasis en Ucrania en la primera mitad de 2023.

Los cambios sustanciales en las herramientas y el arte comercial de APT29 “probablemente estén diseñados para respaldar una mayor frecuencia y alcance de las operaciones y obstaculizar el análisis forense”, dijo la compañía, y que ha “utilizado varias cadenas de infección simultáneamente en diferentes operaciones”.

Algunos de los cambios notables incluyen el uso de sitios de WordPress comprometidos para alojar cargas útiles de la primera etapa, así como componentes adicionales de ofuscación y antianálisis.

AT29, que también se ha relacionado con la explotación centrada en la nube, es uno de los muchos grupos de actividades originados en Rusia que han señalado a Ucrania tras el inicio de la guerra a principios del año pasado.

En julio de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) implicó a Turla en ataques que implementaban el malware Capibar y la puerta trasera Kazuar para ataques de espionaje a activos defensivos ucranianos.

Las agencias de ciberseguridad ucranianas, en un informe del mes pasado, también revelaron que los actores de amenazas respaldados por el Kremlin apuntaron a entidades nacionales encargadas de hacer cumplir la ley para recopilar información sobre las investigaciones ucranianas sobre crímenes de guerra cometidos por soldados rusos.

CERT-UA registró 27 ciberataques “críticos” en el primer semestre de 2023, frente a 144 en el segundo semestre de 2022 y 319 en el primer semestre de 2022. En total, los ciberataques destructivos que afectaron a las operaciones cayeron de 518 a 267.