En el panorama de la ciberseguridad, los ataques de phishing continúan siendo una amenaza significativa. Recientemente, un grupo de ciberdelincuentes conocido como UAC-0050 ha atraído la atención por su enfoque innovador en tácticas de phishing.
El grupo de amenazas conocido como UAC-0050 ha estado utilizando ataques de phishing para difundir el malware Remcos RAT, empleando tácticas novedosas para eludir la detección de software de seguridad. Según un informe publicado por los investigadores de seguridad de Uptycs, Karthickkumar Kathiresan y Shilpesh Trivedi, este grupo ha hecho de Remcos RAT su herramienta principal en su arsenal de espionaje, siendo un malware notorio para el control y vigilancia remotos.
En su última operación, UAC-0050 ha incorporado una técnica de comunicación entre procesos mediante una tubería, lo que demuestra su capacidad de adaptación avanzada. Este grupo ha estado activo desde 2020 y ha dirigido sus ataques principalmente hacia entidades ucranianas y polacas, utilizando campañas de ingeniería social que se hacen pasar por organizaciones legítimas para engañar a las víctimas y hacer que abran archivos adjuntos maliciosos.
Te podrá interesar leer: Desvelando el Ataque de Ingeniería Social
En febrero de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuyó a UAC-0050 una campaña de phishing diseñada para distribuir Remcos RAT. En los últimos meses, este troyano se ha distribuido en al menos tres oleadas de ataques de phishing diferentes, y uno de estos ataques también resultó en la entrega de un ladrón de información llamado Meduza Stealer.
El análisis de Uptycs se basa en un archivo LNK que se descubrió el 21 de diciembre de 2023. Aunque no se conoce el vector de acceso inicial exacto, se sospecha que involucró correos electrónicos de phishing dirigidos al personal militar ucraniano, que afirmaban ofrecer funciones de consultoría en las Fuerzas de Defensa de Israel (FDI).
El archivo LNK recopila información sobre los productos antivirus instalados en la computadora de la víctima y luego ejecuta una aplicación HTML llamada "6.hta" desde un servidor remoto utilizando mshta.exe, un binario nativo de Windows para ejecutar archivos HTA. Este paso prepara el terreno para un script de PowerShell que descomprime otro script de PowerShell para descargar dos archivos llamados "word_update.exe" y "ofer.docx" desde el dominio new-tech-savvy[.]com.
La ejecución de word_update.exe crea una copia de sí mismo con el nombre "fmTask_dbg.exe" y establece persistencia al crear un acceso directo al nuevo ejecutable en la carpeta de inicio de Windows. Este binario también utiliza tuberías sin nombre para facilitar la transferencia de datos entre él y un proceso secundario recién generado para cmd.exe, con el objetivo de iniciar Remcos RAT (versión 4.9.2 Pro). Remcos RAT es capaz de recopilar datos del sistema, cookies e información de inicio de sesión de navegadores web como Internet Explorer, Mozilla Firefox y Google Chrome.
Los investigadores destacan que el uso de tuberías dentro del sistema operativo Windows proporciona un canal encubierto para la transferencia de datos, permitiendo evadir eficazmente la detección por parte de sistemas de Endpoint Detección y Respuesta (EDR) y antivirus. Aunque esta técnica no es completamente nueva, representa un avance significativo en la sofisticación de las estrategias de este grupo.
Te podrá interesar leer: Troyanos de Acceso Remoto: Software Malicioso (RAT)
Para protegerse contra estas amenazas emergentes, es crucial adoptar un enfoque multifacético:
Educación y Concienciación: Capacitar a los trabajadores y usuarios sobre las tácticas de phishing y cómo identificarlas.
Verificación Rigurosa de Fuentes: Siempre verificar la autenticidad de la comunicación, especialmente si solicita información sensible.
Uso de Software de Seguridad Actualizado: Asegurarse de que los sistemas estén protegidos con la última tecnología en software de seguridad.
Políticas de Seguridad Estrictas: Implementar políticas de seguridad que incluyan procedimientos de autenticación y verificación.
Respuesta Rápida a Incidentes: Tener un plan en caso de que se detecte un intento de phishing.
Podrá interesarte: Takedown: La Defensa crucial contra el Phishing
Mirando hacia el futuro, es probable que los ataques de phishing se vuelvan aún más sofisticados. La inteligencia artificial y el aprendizaje automático podrían ser utilizados por los ciberdelincuentes para crear ataques aún más convincentes y personalizados.
El grupo UAC-0050 es un recordatorio de que la ciberseguridad es un campo en constante evolución. La adaptación y la innovación son clave para mantenerse a salvo. Tanto individuos como organizaciones deben estar siempre un paso adelante, actualizando sus conocimientos y herramientas para combatir estas amenazas emergentes.