El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha descubierto ciberataques que utilizan correos electrónicos maliciosos con fotos de presuntos prisioneros de guerra (POW) desde la dirección de Kursk. En julio de 2024, Ucrania lanzó una serie de ataques en la región de Kursk de Rusia en un intento de desviar las fuerzas y los recursos rusos de las principales líneas del frente. Distribución del software espía Spectr y el malware Firmachagent Estos correos electrónicos maliciosos contienen un enlace a un archivo descargable que contiene un archivo con la extensión Compiled HTML Help (.chm), un formato de archivo utilizado principalmente por Microsoft para almacenar documentación de ayuda y manuales. Según CERT-UA, parte del Servicio Estatal de Comunicaciones Especiales de Ucrania (SSSCIP), al abrir el archivo se instalan componentes del software espía Spectr, así como un nuevo malware llamado Firmachagent. Este último recupera los datos robados por Spectr y los envía a un servidor de administración remota. CERT-UA sospecha que Vermin (también conocido como UAC-0020), un grupo de actores de amenazas vinculado a la República Popular de Luhansk y que se cree que actúa en nombre del Kremlin, es responsable de esos ciberataques. Recomendaciones de mitigación de CERT-UA En su aviso de seguridad, publicado el 19 de agosto, CERT-UA recomendó los siguientes pasos para mitigar la amenaza: Restringir los permisos de los usuarios eliminándolos del grupo «Administradores» para reducir la superficie de ataque Aplicar políticas (principio de responsabilidad única/bloqueo de aplicaciones) para evitar que los usuarios ejecuten archivos .chm y powershell.exe Las autoridades ucranianas también instaron a cualquier persona que haya recibido el correo electrónico malicioso a que se ponga en contacto con CERT-UA. Crédito de la foto: artaxerxes_longhand/Shutterstock