El Equipo de Respuesta a Emergencias de la Computación de Ucrania (CERT-UA) advierte una nueva campaña que se dirige a los sectores de defensa con rata de cristal oscuro (también conocido como DCRAT).
Se ha encontrado que la campaña, detectada a principios de este mes, dirige a los empleados de las empresas del complejo de defensa-industrial y representantes individuales de las Fuerzas de Defensa de Ucrania.
La actividad implica distribuir mensajes maliciosos a través de la aplicación de mensajería de señal que contiene supuestos minutos de reunión. Algunos de estos mensajes se envían desde cuentas de señal previamente comprometidas para aumentar la probabilidad de éxito de los ataques.
Los informes se comparten en forma de archivos de archivo, que contienen un PDF señuelo y un ejecutable, un crypter evasivo basado en .NET llamado DarkTortilla que descifra y lanza el malware DCRAT.
DCRAT, un troyano de acceso remoto bien documentado (rata), facilita la ejecución de comandos arbitrarios, roba información valiosa y establece un control remoto sobre dispositivos infectados.
CERT-UA ha atribuido la actividad a un clúster de amenazas que rastrea como UAC-0200, que se sabe que está activo desde al menos el verano de 2024.
«El uso de mensajeros populares, tanto en dispositivos móviles como en computadoras, expande significativamente la superficie del ataque, incluso debido a la creación de canales de intercambio de información no controlados (en el contexto de protección)», agregó la agencia.
El desarrollo sigue la supuesta decisión de Signal de dejar de responder a las solicitudes de la policía ucraniana sobre las amenazas cibernéticas rusas, según el registro.
«Con su inacción, Signal está ayudando a los rusos a recopilar información, atacar a nuestros soldados y comprometer a los funcionarios del gobierno», dijo Serhii Demediuk, subsecretario del Consejo de Seguridad y Defensa Nacional de Ucrania.
Sin embargo, el CEO de Signal, Meredith Whittaker, ha refutado el reclamo, afirmando que «no trabajamos oficialmente con ningún gobierno, Ucrania o de otra manera, y nunca nos detuvimos. No estamos seguros de dónde vino esto o por qué».
También se produce a raíz de los informes de Microsoft y Google de que los actores cibernéticos rusos se centran cada vez más en obtener acceso no autorizado a las cuentas de WhatsApp y las señales aprovechando la función de vinculación del dispositivo, ya que los ucranianos se han vuelto a señalar como una alternativa al telegrama.