A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou sobre uma nova campanha de phishing que se passa pelo Serviço de Segurança da Ucrânia para distribuir malware capaz de acessar desktops remotos.
A agência está rastreando a atividade sob o nome UAC-0198. Estima-se que mais de 100 computadores foram infectados desde julho de 2024, incluindo aqueles relacionados a órgãos governamentais no país.
As cadeias de ataque envolvem a distribuição em massa de e-mails para entregar um arquivo ZIP contendo um arquivo instalador MSI, cuja abertura leva à implantação de malware chamado ANONVNC.
O ANONVNC, que é baseado em uma ferramenta de gerenciamento remoto de código aberto chamada MeshAgent, permite acesso furtivo não autorizado aos hosts infectados.
O desenvolvimento ocorre no momento em que o CERT-UA atribuiu ao grupo de hackers UAC-0102 ataques de phishing que propagam anexos HTML que imitam a página de login do UKR.NET para roubar credenciais dos usuários.
Nas últimas semanas, a agência também alertou sobre um aumento nas campanhas que distribuem o malware PicassoLoader com o objetivo ultimate de implantar o Cobalt Strike Beacon em sistemas comprometidos. Os ataques foram vinculados a um ator de ameaça rastreado como UAC-0057.
“É razoável supor que os objetos de interesse do UAC-0057 podem ser tanto especialistas de escritórios de projetos quanto seus 'contratados' dentre os funcionários dos governos locais relevantes da Ucrânia”, disse o CERT-UA.
