O grupo cibercriminoso conhecido como UAC-0099 continua a realizar ataques direcionados à Ucrânia, utilizando uma falha de alta gravidade no software WinRAR para distribuir uma cepa de malware chamada LONEPAGE.

O UAC-0099 foi documentado pela primeira vez pelo Computer Emergency Response Team da Ucrânia (CERT-UA) em junho de 2023, detalhando seus ataques contra organizações estatais e entidades de mídia com motivações de espionagem.

As cadeias de ataque utilizam mensagens de phishing contendo anexos de arquivos HTA, RAR e LNK, que levam à implantação do LONEPAGE, um malware de Script Visual Basic (VBS) capaz de contatar um servidor de comando e controle (C2) para recuperar cargas adicionais, como keyloggers, stealers e malware de captura de tela. As táticas usadas pelo ‘UAC-0099’ são simples, mas eficazes.

Apesar dos diferentes vetores de infecção inicial, a infecção central é a mesma: eles dependem do PowerShell e da criação de uma tarefa agendada que executa um arquivo VBS.