El cargador IDAT ataca objetivos ucranianos en Finlandia

Las entidades ucranianas situadas en Finlandia han sido víctimas de una campaña maliciosa que implica la distribución de un troyano comercial de acceso remoto conocido como Remcos RAT. Esta campaña utiliza un cargador de malware llamado IDAT Loader. El actor responsable de la amenaza, identificado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) como UAC-0184, ha sido vinculado al ataque.

El investigador de Morphisec, Michael Dereviashkin, en un informe compartido con The Hacker News, destacó que el ataque, un componente del IDAT Loader, emplea esteganografía como técnica. Si bien las técnicas esteganográficas, comúnmente conocidas como 'Stego', son familiares, comprender su papel en la evasión de la defensa es crucial para desarrollar defensas efectivas contra tales tácticas.

IDAT Loader comparte ADN con el malware Hijack Loader

IDAT Loader, que comparte similitudes con otra familia de cargadores llamada Hijack Loader, se ha utilizado para entregar varias cargas útiles, incluidas DanaBot, SystemBC y RedLine Stealer en los últimos meses. Además, el cargador ha sido utilizado por un actor de amenazas conocido como TA544 para difundir Remcos RAT y SystemBC a través de ataques de phishing.

La campaña de phishing, revelada inicialmente por CERT-UA a principios de enero de 2024, implica el uso de señuelos con temas de guerra para iniciar una cadena de infección. Esta cadena finalmente conduce a la implementación de IDAT Loader, que luego utiliza un PNG esteganográfico integrado para localizar y extraer Remcos RAT.

En un acontecimiento relacionado, CERT-UA reveló que las fuerzas de defensa del país han sido atacadas a través de la aplicación de mensajería instantánea Signal. En este escenario, los atacantes distribuyen un documento de Microsoft Excel con trampa explosiva, ejecutando COOKBOX, un malware basado en PowerShell capaz de cargar y ejecutar cmdlets. Esta actividad se ha atribuido a un grupo denominado UAC-0149.