Entidades ucranianas foram alvo de uma campanha maliciosa que distribui um trojan de acesso remoto comercial conhecido como Remcos RAT, utilizando um carregador de malware chamado IDAT Loader. O ataque foi atribuído a um ator de ameaça rastreado pela Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) sob o codinome UAC-0184.

“O ataque, como parte do IDAT Loader, utilizou esteganografia como técnica”, disse o Michael Dereviashkin. Embora as técnicas esteganográficas, ou ‘Stego’, sejam bem conhecidas, é importante entender seus papéis na evasão de defesa, para melhor compreender como se defender contra tais táticas.

A campanha de phishing – divulgada pela primeira vez pela CERT-UA no início de janeiro de 2024 – utiliza iscas temáticas de guerra como ponto de partida para iniciar uma cadeia de infecção que leva à implantação do IDAT Loader, que, por sua vez, usa um PNG esteganográfico embutido para localizar e extrair o Remcos RAT.

O desenvolvimento ocorre enquanto a CERT-UA revelou que as forças de defesa no país foram alvo através do aplicativo de mensagens instantâneas Signal para distribuir um documento do Microsoft Excel armadilhado que executa o COOKBOX, um malware baseado em PowerShell capaz de carregar e executar cmdlets. A CERT-UA atribuiu a atividade a um cluster denominado UAC-0149.