ClickCease Fallo en WinRAR: El malware LONEPAGE ataca a empresas ucranianas

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Fallo en WinRAR: El malware LONEPAGE ataca a empresas ucranianas

Wajahat Raja

4 de enero de 2024 - Equipo de expertos TuxCare

En el ámbito de la ciberseguridad, la vigilancia es primordial, y los últimos acontecimientos revelan una amenaza persistente a la que se enfrentan las entidades ucranianas. En mediados deel CERT ucraniano emitió el aviso #6710, desenmascarando a un actor de amenazas identificado como "UAC-0099". "UAC-0099". Las actividades de este actor y su arsenal de herramientas se describían sucintamente en el aviso. En esta entrada del blog, examinaremos los intrincados detalles de la persistente amenaza para la ciberseguridad que representa el malware LONEPAGE. También desvelaremos sus tácticas y la evolución del panorama de los ataques selectivos contra empresas ucranianas.


Malware LONEPAGE: El asalto continuado de UAC-0099 a Ucrania


Desde la publicación del aviso de CERT-UA,
Deep Instinct ha descubierto nuevos ataques de malware a ataques de malware orquestados por UAC-0099, dirigidos específicamente a entidades ucranianas. En particular, UAC-0099 emplea una estrategia astuta, desplegando citaciones judiciales fabricadas para atraer a objetivos desprevenidos en Ucrania para que ejecuten archivos maliciosos. La ciberseguridad de las empresas ucranianas es una prioridad máxima en el panorama digital en constante evolución, que requiere estrategias sólidas para mitigar los riesgos y fortalecer las defensas contra las ciberamenazas emergentes.


Exploits UAC-0099 y WinRAR


UAC-0099 ha estado implicado en una serie de ataques contra Ucrania, aprovechando un fallo crítico del software WinRAR para propagar el malware
malware LONEPAGE. Según la empresa de ciberseguridad Deep Instinct, este actor de amenazas ha puesto sus miras en empleados ucranianos afiliados a empresas internacionales.

 

En un análisis detallado, Deep Instinct reveló que los vectores de ataque de UAC-0099 abarcan mensajes de phishing que contienen archivos adjuntos HTA, RAR y LNK. Estos archivos adjuntos, cuando se activan, activan el despliegue de LONEPAGE, un malware de Visual Basic Script (VBS). LONEPAGE tiene la capacidad de establecer comunicación con un servidor de mando y control (C2), lo que le permite obtener cargas útiles adicionales, como keyloggers, ladrones y malware de captura de pantalla.


Cronología de la intrusión


Los orígenes de UAC-0099 se remontan a junio de 2023, cuando CERT-UA documentó por primera vez las actividades del actor de la amenaza. El informe relacionado con estas
tendencias en ciberseguridad destacaba los ataques de espionaje de UAC-0099 contra organizaciones estatales y medios de comunicación de Ucrania. Preocupantemente, el acceso remoto no autorizado a numerosos ordenadores en Ucrania se produjo durante el período de 2022 a 2023. Ante esto, se puede afirmar que implementar rigurosas medidas de seguridad de datos es crucial para salvaguardar la información sensible.


Diversos vectores de ataque


El último análisis de Deep Instinct revela tres cadenas de infección distintas empleadas por UAC-0099. La primera implica archivos adjuntos HTA, mientras que las otras dos aprovechan archivos autoextraíbles (SFX) y archivos ZIP maliciosos. En el caso de los archivos ZIP, UAC-0099 aprovecha la vulnerabilidad de WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para difundir el malware
malware LONEPAGE.


Tácticas engañosas


El archivo SFX alberga un acceso directo LNK camuflado como un archivo DOCX de una citación judicial. Utilizando el icono de Microsoft WordPad, el autor de la amenaza atrae a las víctimas para que abran el archivo, lo que lleva a la ejecución de código PowerShell malicioso que deja caer el malware LONEPAGE.

La segunda secuencia de ataque implica un archivo ZIP meticulosamente diseñado susceptible a CVE-2023-38831. Deep Instinct identificó dos de estos artefactos creados por UAC-0099 el 5 de agosto de 2023, apenas tres días después de que WinRAR publicara un parche para la vulnerabilidad. A pesar de los distintos vectores de infección iniciales, el método de infección principal sigue siendo el mismo, basado en PowerShell y la creación de una tarea programada que ejecuta un archivo VBS.


Panorama de las ciberamenazas: Una nueva ola


Coincidiendo con estas revelaciones, CERT-UA emitió una advertencia sobre una nueva oleada de mensajes de phishing que se hacen pasar por cuotas pendientes de Kyivstar. Estos mensajes pretenden propagar un troyano de acceso remoto conocido como Remcos RAT, y la campaña se atribuye a UAC-0050.
Las vulnerabilidades de WinRAR suponen un importante riesgo para la ciberseguridad, lo que subraya la importancia de aplicar rápidamente parches y adoptar medidas proactivas para proteger los sistemas y evitar posibles ataques.


Conclusión


El panorama de las
ciberamenazas 2023 es dinámico, y las actividades de UAC-0099 subrayan la necesidad de una vigilancia inquebrantable. Comprender sus tácticas y las vulnerabilidades que explotan es crucial para reforzar las defensas. Las organizaciones, especialmente las que tienen vínculos con Ucrania, deben dar prioridad a las medidas de ciberseguridad para frustrar la evolución de los incidentes de ciberseguridad ucranianos. incidentes de ciberseguridad ucranianos y garantizar la seguridad de su infraestructura digital. A medida que evoluciona el panorama de la ciberseguridad, mantenerse informado y garantizar las buenas prácticas de ciberseguridad siguen siendo la clave para protegerse contra estas amenazas insidiosas.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y Instinto Profundo.

 

Resumen
Fallo en WinRAR: El malware LONEPAGE ataca a empresas ucranianas
Nombre del artículo
Fallo en WinRAR: El malware LONEPAGE ataca a empresas ucranianas
Descripción
Descubra lo último sobre el malware LONEPAGE, dirigido a empresas ucranianas a través de exploits WinRAR. Mantente informado sobre las amenazas a la ciberseguridad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín