PicassoLoader utilizado en ataques dirigidos en Ucrania y Polonia

Se ha lanzado una serie de campañas específicas para adquirir información confidencial y establecer acceso remoto persistente a sistemas comprometidos en Ucrania y Polonia. Organismos gubernamentales, organizaciones militares y civiles han sido víctimas de estos ataques.

Desde abril de 2022 hasta julio de 2023, estas intrusiones emplean varias tácticas, incluidos señuelos de phishing y documentos señuelo. Un malware destacado utilizado en este esquema es PicassoLoader, que se implementa a través de malware de descarga. Una vez infectados, los sistemas se ven comprometidos utilizando Cobalt Strike Beacon y njRAT.

El investigador de Cisco Talos, Vanja Svajcer, explicó que los ataques involucran múltiples etapas, comenzando con documentos maliciosos de Microsoft Office, comúnmente en formatos Excel o PowerPoint. Posteriormente, se utiliza un descargador ejecutable y una carga oculta dentro de un archivo de imagen para evadir la detección.

Se cree que el actor de amenazas GhostWriter, también conocido como UAC-0057 o UNC1151, es responsable de algunas de estas actividades. Sus motivos se alinean con los del gobierno bielorruso.

Vale la pena señalar que un subconjunto de estos ataques ya ha sido informado el año pasado por CERT-UA de Ucrania y Fortinet FortiGuard Labs. Una instancia involucró el uso de documentos de PowerPoint cargados de macros para distribuir el malware Agent Tesla en julio de 2022.

Las cadenas de infección están diseñadas para persuadir a las víctimas para que habiliten las macros, lo que lleva a la implementación de un descargador de DLL llamado PicassoLoader. Este descargador luego se comunica con un sitio web controlado por el atacante para obtener el malware final, que está incrustado en un archivo de imagen legítimo.

CERT-UA reveló recientemente una serie de operaciones de phishing que distribuyen el malware SmokeLoader, así como un ataque de smishing destinado a tomar el control no autorizado de las cuentas de Telegram.

Más actores de amenazas apuntando a Ucrania

En un incidente separado, CERT-UA reveló una campaña de espionaje cibernético dirigida a organizaciones estatales y representantes de los medios en Ucrania. Esta campaña utilizó correo electrónico y mensajería instantánea para distribuir archivos que, cuando se iniciaban, ejecutaban un script de PowerShell llamado LONPAGE. Este script obtuvo cargas útiles de la siguiente etapa, como un ladrón de navegador (THUMBCHOP) y un registrador de teclas (CLOGFLAG).

GhostWriter es solo uno de varios actores de amenazas que se han dirigido a Ucrania. También se sabe que APT28, un grupo de estado-nación ruso, usó archivos adjuntos HTML en correos electrónicos de phishing. Estos correos electrónicos solicitan a los destinatarios que cambien sus contraseñas para UKR.NET y Yahoo! cuentas debido a supuesta actividad sospechosa. Sin embargo, los enlaces redirigen a las víctimas a páginas de destino falsas diseñadas para robar sus credenciales.

Estos desarrollos coinciden con los piratas informáticos de la inteligencia militar rusa (GRU) que adoptaron un "libro de jugadas estándar de cinco fases" para sus operaciones disruptivas contra Ucrania. Esta estrategia tiene como objetivo intensificar la velocidad, la escala y el impacto de sus ataques.