El equipo de respuesta a emergencias informáticas (CERT) de Ucrania ha emitido una advertencia sobre una nueva campaña de phishing que ha permitido a actores de amenazas vinculados a otra región implementar un malware desconocido en una red en un tiempo sorprendentemente corto.
Este grupo, conocido como APT28 o también como Fancy Bear o Strontium, es patrocinado por un estado y ha sido identificado como originario de una nación vecina. A lo largo de su historial, se le ha relacionado con ataques dirigidos a entidades gubernamentales, empresas, instituciones académicas, centros de investigación y grupos de expertos en diversas naciones occidentales y organizaciones asociadas a la OTAN. Sus métodos incluyen el uso de campañas de phishing y la explotación de vulnerabilidades en programas ampliamente utilizados.
Te podrá interesar leer: Hacktivismo en la Era Moderna: Una Mirada al Paisaje Cambiante
La más reciente campaña, dirigida a Ucrania, tuvo lugar entre el 15 y el 25 de diciembre de 2023, empleando correos electrónicos fraudulentos que persuadían a los destinatarios a hacer clic en un enlace que aparentemente llevaba a un documento importante.
Estos enlaces redirigían a los afectados a sitios web maliciosos que utilizaban código JavaScript para introducir un archivo de acceso directo de Windows (LNK) en el sistema, el cual a su vez ejecutaba comandos de PowerShell para activar una cadena de infección destinada a un nuevo descargador de malware Python denominado 'MASEPIE'.
MASEPIE establece su presencia en el dispositivo infectado mediante la modificación del Registro de Windows y la inserción de un archivo LNK con un nombre engañoso ('SystemUpdate.lnk') en la carpeta de inicio de Windows. El propósito principal de este malware, según el CERT ucraniano, es descargar más malware en el dispositivo afectado y extraer datos confidenciales.
Podría interesarte: Análisis de Malware con Wazuh
El CERT ucraniano también ha observado que APT28 hace uso de un conjunto de scripts de PowerShell llamados 'STEELHOOK' para llevar a cabo el robo de datos de navegadores web basados en Chrome, presumiblemente con el fin de obtener información confidencial como contraseñas, cookies de autenticación e historiales de navegación. Una herramienta adicional empleada como parte de este ataque es 'OCEANMAP', una puerta trasera programada en C# que principalmente ejecuta comandos codificados en base64 a través de cmd.exe.
Para asegurar su persistencia en el sistema, OCEANMAP crea un archivo .URL llamado 'VMSearch.url' en la carpeta de inicio de Windows. OCEANMAP utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) como canal de control para recibir comandos de manera discreta, los cuales se almacenan como borradores de correos electrónicos que contienen el comando, el nombre de usuario y la versión del sistema operativo.
Tras ejecutar los comandos, OCEANMAP guarda los resultados en el directorio de la bandeja de entrada, lo que permite a APT28 recuperarlos de manera sigilosa y ajustar su ataque según sea necesario. Además de estas herramientas, se han utilizado otras en los ataques, incluyendo IMPACKET, una colección de clases de Python para trabajar con protocolos de red, y SMBEXEC, que posibilita la ejecución remota de comandos.
El CERT de Ucrania ha señalado que estas herramientas son desplegadas en sistemas comprometidos en un período muy breve, dentro de la primera hora desde el inicio del compromiso, lo que indica una ejecución rápida y altamente coordinada del ataque.
Te podrá interesar leer: Los Casos Más Emblemáticos de Hacktivismo
Para evitar ser víctima del malware Masepie, se recomienda seguir las siguientes medidas de prevención y protección:
Te podrá interesar: Concientización: Esencial en la Ciberseguridad de tu Empresa
El malware Masepie es una amenaza seria y sofisticada que puede comprometer la seguridad y la privacidad de los usuarios y las organizaciones. Por eso, es importante estar alerta y protegido ante este tipo de ataques, y actuar con rapidez y eficacia en caso de detectar una infección.