Usuarios del sistema militar DELTA de Ucrania atacados por malware de robo de información

Se encontró una cuenta de correo electrónico comprometida del Ministerio de Defensa de Ucrania que enviaba correos electrónicos de phishing y mensajes instantáneos a los usuarios del programa de conciencia situacional ‘DELTA’ para infectar sistemas con malware que roba información.

La campaña fue destacada hoy en un informe de  CERT-UA  (Equipo de Respuesta a Emergencias Informáticas de Ucrania), que advirtió al personal militar ucraniano sobre el ataque de malware.

DELTA es un sistema de recopilación y gestión de inteligencia creado por Ucrania con la ayuda de sus aliados para ayudar a los militares a rastrear los movimientos de las fuerzas enemigas.

Los certificados digitales se utilizan para firmar código de software y autenticar servidores, lo que indica a los productos de seguridad que se ejecutan en el sistema operativo que la aplicación no ha sido manipulada y que el operador del servidor es quien dice ser.

Proceso de infección

Como parte de esta campaña, los actores de amenazas utilizaron correos electrónicos o mensajes instantáneos con advertencias falsas de que los usuarios deben actualizar los certificados ‘Delta’ para continuar usando el sistema de forma segura.

El correo electrónico malicioso contiene un documento PDF supuestamente con instrucciones de instalación del certificado, que incluye enlaces para descargar un archivo ZIP llamado “certificates_rootCA.zip”.

Ejemplo de correo electrónico utilizado en la campaña (CERT-UA)
Página de inicio desde donde las víctimas descargan el archivo ZIP (CERT-UA)

El archivo contiene un ejecutable firmado digitalmente llamado “certificates_rootCA.exe”, que, al iniciarse, crea varios archivos DLL en el sistema de la víctima y ejecuta “ais.exe”, que simula el proceso de instalación del certificado.

Este paso convence a la víctima de que el proceso fue legítimo y reduce las posibilidades de que se den cuenta de que han sido violados.

Diálogo de instalación de certificado (CERT-UA)

Tanto los archivos EXE como las DLL están protegidos por VMProtect, un software legítimo que se utiliza para empaquetar archivos en máquinas virtualizadas independientes, cifrar su contenido y hacer imposible el análisis o la detección de AV.

Los DLL eliminados, “FileInfo.dll” y “procsys.dll”, son malware, identificado por CERT-UA como ‘FateGrab’ y ‘StealDeal’.

FateGrab es un ladrón de archivos FTP dirigido a documentos y correos electrónicos de los siguientes formatos de archivo: ‘.txt’, ‘.rtf’, ‘.xls’, ‘.xlsx’, ‘.ods’, ‘.cmd’, ‘.pdf’ , ‘.vbs’, ‘.ps1’, ‘.one’, ‘.kdb’, ‘.kdbx’, ‘.doc’, ‘.docx’, ‘.odt’, ‘.eml’, ‘.msg’ , ‘.Email.’

StealDeal es un malware de ladrón de información que puede, entre otras cosas, robar datos de navegación de Internet y contraseñas almacenadas en el navegador web.

CERT-UA no pudo vincular la operación anterior con ningún actor de amenazas conocido.

Fuente: bleepingcomputer

Más historias

“La adicción es rentable”: el juicio a Meta y Google por los efectos de las redes en los niños

El jefe interino de ciberseguridad de Trump subió documentos gubernamentales confidenciales a ChatGPT.

La moda de “colocar” a las IAs drogas digitales

ChatGPT multiplicó por 80 sus reportes de explotación infantil en 2025

EE. UU. implementa registro facial y de huellas para todos los extranjeros en fronteras

El año 2026 cuando la Ciberseguridad dejó de ser opcional

Cómo funcionan los ataques de phishing contra 2FA y cómo detectarlos

Tácticas, técnicas y procedimientos (TTPs) de los grupos de APT asiáticos modernos

Qué ocurre con los datos robados tras un ataque de phishing

Rusia desarrolla una guerra espacial en contra Starlink

Cinco riesgos de ciberseguridad que plantean las tecnologías emergentes y cómo podemos defendernos de ellos

Vulnerabilidades, respuestas y escenarios futuros de los ciberconflictos en Centroamérica