Se ha descubierto una nueva campaña de phishing orquestada por el grupo de amenazas con motivaciones económicas UAC-0006 que tiene como objetivo a los clientes de PrivatBank, la institución financiera estatal más grande de Ucrania.

Los analistas de ciberseguridad de CloudSEK identificaron un ataque en curso que emplea archivos protegidos con contraseña que contienen archivos maliciosos de JavaScript, VBScript o LNK para evadir la detección.

Se ha observado que UAC-0006 despliega señuelos de phishing con temática de pago desde noviembre de 2024, aprovechando:

• Archivos adjuntos de correo electrónico maliciosos disfrazados de facturas.
• Archivos JavaScript y VBScript que ejecutan comandos de PowerShell.
• Malware SmokeLoader para comunicación de comando y control (C2).
• Estas técnicas facilitan el acceso no autorizado, la ejecución de la carga útil y el control persistente sobre los sistemas comprometidos.

El último ataque comienza con un correo electrónico de phishing que contiene un archivo ZIP o RAR protegido con contraseña. Una vez abierto, el archivo JavaScript o VBScript extraído inicia una serie de procesos que inyectan código malicioso en binarios legítimos de Windows.

Un análisis forense reciente indica que UAC-0006 ha adoptado los archivos LNK como un nuevo vector de ataque, reflejando tácticas previamente asociadas con el grupo ruso de amenazas persistentes avanzadas (APT) FIN7.

Estos cambios sugieren una superposición operativa con EmpireMonkey y Carbanak, ambos conocidos por el ciberdelito financiero. El uso de PowerShell, la inyección de procesos y técnicas de comunicación C2 no estándar se alinean con el modus operandi histórico del grupo.

Las campañas de phishing plantean varios riesgos, entre ellos la vulneración de datos, tras lo cual las credenciales robadas y la información financiera pueden utilizarse para cometer fraudes o venderse en la red oscura. También facilita la recolección de credenciales, ya que permite el acceso no autorizado a cuentas bancarias y corporativas.

Además, PrivatBank y otras entidades suplantadas en correos electrónicos de phishing pueden sufrir daños a su reputación. La suplantación de la identidad de proveedores de servicios financieros aumenta los riesgos posteriores dentro de la cadena de suministro.

Para contrarrestar estas amenazas, los expertos en ciberseguridad recomiendan:

• Bloquear indicadores maliciosos: supervisar y poner en la lista negra las URL, las IP y los hashes de archivos vinculados a UAC-0006.
• Capacitación en concienciación sobre seguridad: educar a los empleados para que identifiquen los intentos de phishing.
• Medidas de respuesta a incidentes: establecer protocolos para detectar y mitigar los ataques antes de que se produzcan daños.

La evolución continua de UAC-0006 subraya la creciente sofisticación de los grupos de ciberdelincuentes con motivaciones económicas. La vigilancia, las estrategias de defensa proactiva y la concienciación de los usuarios siguen siendo fundamentales para mitigar estas amenazas.