Los Hackers Están Usando Macros y Telegram para Robar Datos de Organizaciones Gubernamentales en Ucrania

CERT-UA, el organismo ucraniano de ciberseguridad, ha emitido una advertencia sobre una sofisticada campaña de espionaje dirigida a centros de innovación militar, fuerzas del orden y oficinas gubernamentales locales en toda Ucrania. 

El presunto actor de amenazas, identificado como UAC-0226, ha estado distribuyendo documentos falsos con apariencia oficial. El objetivo es simple: entregar malware diseñado para exfiltrar información a través de Telegram y servidores de comando y control remotos (C2). 

Según CERT-UA, la campaña está activa desde al menos febrero de este año y utiliza ingeniería social y macros maliciosas de Excel para desplegar un malware conocido como GIFTEDCROOK. 

Macros con Misión 

Los atacantes comienzan enviando correos electrónicos de phishing que simulan ser mensajes reales de instituciones gubernamentales ucranianas. Los temas de los correos incluyen multas administrativas, catálogos de productos UAV (vehículos aéreos no tripulados), planes de desminado y reportes de compensación por propiedades destruidas. 

El truco está en que cada correo contiene un archivo .xlsm (una hoja de cálculo de Excel habilitada para macros), que incluye macros incrustadas escritas en Visual Basic for Applications (VBA). A los usuarios se les pide habilitar macros y ejecutar el archivo. 

Si el objetivo lo hace, estas macros decodifican cadenas codificadas en base64 ocultas en las celdas de la hoja de cálculo. El contenido decodificado se guarda en disco como un archivo ejecutable sin extensión visible, lo que ayuda a los atacantes a evitar la detección. 

Los documentos de Excel falsos observados en esta campaña incluyen nombres como: 

• Defender ARMY (2).xlsm 
• Administrative fines 31.03 of employees.xlsm 
• Compensation for destroyed property.xlsm 

GIFTEDCROOK en Acción 

Una vez lanzada, la macro deposita un archivo en un directorio oculto como %PROGRAMDATA%\Svchost\ y lo ejecuta. CERT-UA identificó dos tipos distintos de payload: 

1. Reverse Shell en PowerShell 

Un ejecutable basado en .NET ejecuta el script de PowerShell kpbkewf32mm.ps1, que se conecta inmediatamente a un servidor C2, abriendo una reverse shell. Esto permite a los atacantes ejecutar comandos de forma remota en el equipo infectado. 

2. Stealer GIFTEDCROOK 

Escrito en C/C++, este malware extrae datos del navegador desde Chrome, Firefox y Edge, incluidos cookies, contraseñas guardadas e historial de navegación. Todo se comprime y se envía al atacante vía Telegram o por Internet. 

Ubicaciones de almacenamiento del stealer observadas: 

• %PROGRAMDATA%\Windows Telemetry\ 
• %PROGRAMDATA%\SysAnalyzer\ 
• %TMP%\nmpoyqv5l0ig\status.zip 

CERT-UA Recomienda 

CERT-UA ha instado a organizaciones y empresas a tomar las siguientes medidas: 

• Auditar los registros de correo electrónico y servidores web en busca de accesos o actividad no autorizada 
• Desactivar la ejecución de macros por defecto 
• Aislar e inspeccionar los sistemas comprometidos 
• Monitorear el tráfico saliente para detectar compresión o carga no autorizada de archivos