El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha advertido de una nueva oleada de campañas de ingeniería social que entregan el malware «IcedID» y aprovechan los exploits de Zimbra con el objetivo de robar información sensible.
Atribuyendo los ataques de phishing de IcedID a un grupo de ciberdelincuentes llamado UAC-0041, la agencia dijo que el ataque comienza con un correo electrónico que contiene un documento de Microsoft Excel llamado Мобілізаційний реєстр.xls (en español «Registro de mobilización.xls») que, cuando se abre, pide a los usuarios que habiliten las macros, lo que lleva al despliegue de «IcedID».
El malware que roba información, también conocido como BokBot, ha seguido una trayectoria similar a la de TrickBot, Emotet y ZLoader, evolucionando desde sus primeras raíces como troyano bancario hasta un servicio de crimeware completo.
El segundo conjunto de ataques se relaciona con un nuevo grupo de amenazas llamado UAC-0097, con el correo electrónico que incluye una serie de archivos adjuntos de imágenes con un encabezado ‘Content-Location’ que apunta a un servidor remoto donde se aloja una trozo de código JavaScript que activa un exploit para una vulnerabilidad de scripting en sitios de Zimbra (CVE-2018-6882).
En el último paso de la cadena de ataque, el JavaScript falso inyectado se utiliza para reenviar los correos electrónicos de las víctimas a una dirección de correo electrónico bajo el control del atacante, lo que indica que puede ser una posible campaña de ciber-espionaje.
Las incursiones son una continuación de las actividades cibernéticas maliciosas dirigidas a Ucrania desde principios de año. Recientemente, CERT-UA también reveló que había frustrado un ciberataque de Rusia para sabotear las operaciones de un proveedor de energía.
Más información:
https://cert.gov.ua/article/39609
Deja una respuesta