Hackers se hicieron pasar por guardias fronterizos ucranianos para llevar a cabo una intrusión sin precedentes en el sector público

CERT-UA registró una nueva campaña dirigida contra Ucrania: los atacantes distribuyen módulos XLL maliciosos mediante archivos comprimidos en el mensajero Signal y entregan en los equipos la puerta trasera CABINETRAT. La agencia relacionó los incidentes con el clúster etiquetado como UAC-0245. Describió la lógica del ataque y la forma de ocultar el software en detalle.

El ataque comienza con un archivo ZIP enviado por Signal y presentado como un documento sobre detenciones en la frontera. En su interior hay un archivo XLL: un complemento para Microsoft Excel. Al ejecutarse, este módulo crea en el equipo varios objetos: un archivo ejecutable en la carpeta de inicio automático, el propio XLL con el nombre «BasicExcelMath.xll» en el directorio %APPDATA%\Microsoft\Excel\XLSTART\ y una imagen «Office.png».

A continuación se realizan cambios en el registro para mantener la persistencia en el sistema, tras lo cual se inicia de forma oculta el proceso Excel con el parámetro /e: esto permite cargar y ejecutar el complemento XLL sin interfaz visible. La función principal del complemento es leer del archivo PNG un shellcode codificado, que corresponde a CABINETRAT, y ejecutarlo.

Como señala CERT-UA, tanto el XLL como el propio shellcode cuentan con mecanismos anti-análisis: comprobaciones de características de hardware (al menos dos núcleos de procesador y un mínimo de 3 GB de memoria RAM) y búsqueda de indicios de entornos virtuales — VMware, VirtualBox, Xen, QEMU, Parallels y Hyper‑V. Si el entorno parece ser un entorno aislado, el malware no se ejecutará.

CABINETRAT está escrito en C y ofrece un conjunto completo de funciones de acceso remoto: recopilación de información del sistema, listado de programas instalados, captura de pantalla, navegación y enumeración de directorios, eliminación de archivos y carpetas seleccionados, ejecución de comandos e intercambio de archivos. La comunicación con el servidor de control se realiza mediante una conexión TCP.

CERT-UA indica que el envío a través de Signal y la elección cuidadosa de los asuntos de los mensajes aumentan la probabilidad de que se abran los adjuntos, y que el uso de XLL permite eludir los filtros de correo habituales y las heurísticas antivirus, ya que los complementos de Excel rara vez se analizan con la misma rigurosidad que las macros. La agencia asignó a la actividad la etiqueta UAC-0245 y recomendó a los administradores reforzar la filtración de archivos comprimidos entrantes, bloquear la ejecución de módulos XLL sin firmar y comprobar el inicio automático de complementos de Office.

Las recomendaciones clave incluyen prohibir la apertura automática de adjuntos procedentes de mensajeros, una política estricta de complementos de Office de confianza, monitorizar las conexiones de red para detectar tráfico TCP inesperado y verificar de manera inmediata los cambios sospechosos en el registro y el inicio automático. También se recomienda compartir entre el personal ejemplos de las técnicas de camuflaje utilizadas en los envíos para reducir la probabilidad de que se haga clic en archivos comprimidos maliciosos.