El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha alertado sobre ciberataques dirigidos a las fuerzas de defensa del país utilizando un malware llamado SPECTR.
Este organismo vincula los ataques a un actor de amenazas que rastrea con el sobrenombre de UAC-0020 y al que también se conoce como 'Vermin'.
Dichos ciberdelincuentes estarían asociados con la agencia de seguridad de la República Popular de Luhanks (LPR). Dicha república fue declarada como un estado soberano por Rusia justo en jornadas previas a la invasión militar de Ucrania en febrero de 2022.
La agencia cree que estos incidentes forman parte de una campaña de espionaje denominada SickSync, según se hace eco The Hacker News.
Cómo se realiza la infección
El medio recoge que las cadenas de ataques arrancan con emails de phishing, los cuales contienen un archivo RAR autoextraíble que alberga un archivo PDF señuelo, una versión troyanizada de la aplicación SyncThing que incorpora la carga útil SPECTR y un script por lotes que activa la infección iniciando el ejecutable.
El malware SPECTR es un info stealer o ladrón de información que toma capturas de pantalla cada 10 segundos, recolecta archivos, recopila datos de unidades USB extraíbles y se hace con credenciales de navegadores web y aplicaciones de mensajería, como Telegram, Skype y Signal.
"Una vez más, observamos una tendencia hacia un incremento en la intensidad de los ciberataques que utilizan apps de mensajería y cuentas legítimas comprometidas", ha señalado el CERT-UA. "Al mismo tiempo, de una forma u otra, se anima a la víctima a abrir el archivo en el ordenador", añade.
Estos ataques suponen el retorno del grupo Vermin, que habría estado una temporada ausente. Sus últimas intervenciones databan desde marzo de 2022, cuando orquestó campañas de phishing dirigidas a diferentes organismos estatales ucranianos con el fin de implementar este malware. SPECTR, por cierto, ha sido usado por este actor de amenazas desde 2019.