Campaña de phishing dirigida a funcionarios de la UE que trabajan con refugiados ucranianos

A medida que continúa la guerra en Ucrania, los investigadores de seguridad descubrieron lo que parece ser un nuevo intento de guerra cibernética encubierta. Esta vez, los actores de la amenaza se dirigieron al personal y los funcionarios de la Unión Europea que trabajan con los refugiados ucranianos que escapan de su país devastado por la guerra.

El ataque de phishing usa correo electrónico comprometido

Los investigadores de la empresa de seguridad Proofpoint publicaron un informe sobre el ataque. Según Proofpoint, un "probable" actor respaldado por el estado está apuntando a los funcionarios del gobierno europeo que están trabajando para manejar la ola de refugiados provenientes de Ucrania. El ataque de phishing se llevó a cabo utilizando una dirección de correo electrónico perteneciente al ejército ucraniano, que previamente había sido comprometida por el actor de amenazas.

La carga útil contenida en el correo electrónico de phishing comprende un archivo de Excel adjunto llamado "lista de personas.xlsx" que tiene macros maliciosas incrustadas. Si se ejecuta, la macro intenta capturar una carga útil secundaria maliciosa escrita en Lua y llamada "SunSeed". El correo electrónico del que se originan los mensajes de phishing pertenece a un miembro del ejército ucraniano y de un dominio de correo ukr.net.

Cuando se trata del aspecto de ingeniería social de los correos electrónicos de phishing, el mensaje venía con el asunto "DE ACUERDO CON LA DECISIÓN DE LA REUNIÓN DE EMERGENCIA DEL CONSEJO DE SEGURIDAD DE UCRANIA DEL 24.02.2022". Esto estaba relacionado con la reunión de emergencia celebrada por el Consejo de Seguridad de la OTAN el día anterior a la fecha del título del correo electrónico. El nombre del archivo adjunto, por otro lado, tenía la intención de invocar la "lista de asesinatos" de objetivos ucranianos que fueron noticia a fines de febrero.

Cómo funciona el malware SunSeed

La carga útil instala una serie de dependencias de Lua, luego ejecuta el script malicioso SunSeed Lua y finalmente configura la persistencia mediante el uso de un archivo de acceso directo .lnk. También hay una versión modificada de un intérprete de código Lua legítimo instalado. El intérprete en cuestión se llama sppsvc.exe y esta versión en particular ha sido modificada para que no envíe nada a la consola de Windows, en un esfuerzo por encubrir la actividad del malware.

El archivo de acceso directo utilizado para la persistencia se llama Software Protection Service.lnk y se crea en ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

A pesar de la creencia de Proofpoint de que se trata de una entidad respaldada por el estado, no hay pruebas sólidas que apunten a ningún grupo específico en ningún país específico. Este informe llega en un momento en que, según se informa, más de un millón de ucranianos han huido del país y buscan refugio más allá de las fronteras de Ucrania. La afluencia de refugiados ucranianos incluso ha llevado a Japón, que tradicionalmente tenía cuotas anuales de refugiados extremadamente bajas, a abrir sus fronteras para las personas que huyen de la guerra.