l Computer Emergencies Response Team dell’Ucraina (CERT-UA) ha rivelato dettagli su una nuova campagna mirata a governo e istituzioni sanitarie municipali, in particolare cliniche e ospedali di emergenza, per diffondere malware capace di rubare dati sensibili dai browser web basati su Chromium e WhatsApp.
Dettagli della Campagna e Tecniche Utilizzate
Questa attività, osservata tra marzo e aprile 2026, è stata attribuita a un cluster di minaccia noto come UAC-0247, le cui origini sono attualmente sconosciute. Secondo il CERT-UA, l’attacco inizia con un’email che finge di essere una proposta di aiuto umanitario, invitando i destinatari a cliccare su un link che reindirizza a un sito compromesso o a uno falso basato su strumenti di intelligenza artificiale (AI).
Indipendentemente dal sito, l’obiettivo è scaricare ed eseguire un file di collegamento Windows (LNK), il quale esegue un’applicazione HTML remota (HTA) utilizzando “mshta.exe”. Il file HTA mostra un modulo ingannevole per distogliere l’attenzione della vittima mentre scarica un codice binario che inietta codice shell in un processo legittimo.
Strumenti e Malware Utilizzati
Recenti campagne hanno registrato l’uso di un caricatore a due stadi, il secondo stadio di un eseguibile proprietario che supporta sezioni di codice e dati, mentre il payload finale è compresso e crittografato. Uno dei caricatori utilizzati è il TCP reverse shell, noto come RAVENSHELL, che stabilisce una connessione TCP con un server di gestione.
Inoltre, viene scaricata una famiglia di malware chiamata AGINGFLY, insieme a uno script PowerShell noto come SILENTLOOP, progettato per eseguire comandi e aggiornare la configurazione. AGINGFLY, sviluppato in C#, fornisce il controllo remoto dei sistemi colpiti.
