El Equipo de Respuesta a Emergencias Informáticas de Ucrania (**CERT-UA**) ha identificado una nueva familia de malware, 'AgingFly', utilizada activamente en ataques contra gobiernos y hospitales locales en Ucrania. El objetivo principal del malware es robar datos de autenticación de navegadores basados en Chromium y del mensajero WhatsApp. Se cree que estos ataques, detectados el mes pasado, podrían estar dirigidos a representantes de las Fuerzas de Defensa, según evidencia forense. CERT-UA atribuye estos ataques a un clúster de amenazas cibernéticas rastreado como UAC-0247. ### Cadena de Ataque La cadena de ataque comienza con un correo electrónico de phishing disfrazado de oferta de ayuda humanitaria. Las víctimas son atraídas a hacer clic en un enlace incrustado. Este enlace redirige a un sitio legítimo comprometido a través de una vulnerabilidad de cross-site scripting (XSS) o a un sitio falso generado con una herramienta de IA. El objetivo recibe entonces un archivo comprimido que contiene un archivo de acceso directo (LNK) que lanza un manejador HTA integrado. Este manejador se conecta a un recurso remoto para recuperar y ejecutar un archivo HTA. El archivo HTA muestra un formulario señuelo para distraer al usuario mientras se crea una tarea programada. Esta tarea descarga y ejecuta un payload EXE que inyecta shellcode en un proceso legítimo. A continuación, los atacantes despliegan un cargador de dos etapas, con la segunda etapa utilizando un formato ejecutable personalizado. El payload final está comprimido y cifrado. "Se puede utilizar un shell inverso TCP típico o un análogo clasificado como RAVENSHELL como stagers, lo que permite establecer una conexión TCP con el servidor de gestión", declaró CERT-UA en su informe. Se establece una conexión TCP, cifrada con el cifrado XOR, con el servidor de Comando y Control (C2), permitiendo la ejecución de comandos a través del Símbolo del sistema de Windows. Posteriormente, se entrega y despliega el malware AgingFly. Se utiliza un script de **PowerShell** (SILENTLOOP) para ejecutar comandos, actualizar configuraciones y recuperar la dirección del servidor C2 de un canal de **Telegram** o de mecanismos de respaldo.  Tras investigar múltiples incidentes, los investigadores descubrieron que los atacantes están robando datos del navegador utilizando **ChromElevator**, una herramienta de seguridad de código abierto. ChromElevator descifra y extrae información sensible, como cookies y contraseñas guardadas, de navegadores basados en Chromium (por ejemplo, **Google Chrome**, **Microsoft Edge**, **Brave**) sin requerir privilegios de administrador. El actor de la amenaza también intenta extraer datos sensibles de la aplicación WhatsApp para Windows descifrando bases de datos utilizando la herramienta forense de código abierto ZAPiDESK. Los investigadores han observado actividades de reconocimiento y movimiento lateral dentro de la red, utilizando utilidades disponibles públicamente como el escáner de puertos RustScan y las herramientas de túnel Ligolo-ng y Chisel. ### Características Únicas de AgingFly AgingFly, escrito en **C#**, otorga a los operadores capacidades de control remoto, ejecución de comandos, exfiltración de archivos, captura de capturas de pantalla, keylogging y ejecución de código arbitrario. Se comunica con su servidor C2 a través de WebSockets y cifra el tráfico utilizando AES-CBC con una clave estática. Notablemente, AgingFly no incluye manejadores de comandos precompilados. En su lugar, los compila en el host a partir del código fuente recibido del servidor C2. “Una característica distintiva de AGINGFLY en comparación con malware similar es la ausencia de manejadores de comandos integrados en su código. En su lugar, se recuperan del servidor C2 como código fuente y se compilan dinámicamente en tiempo de ejecución”, explica CERT-UA. Este enfoque ofrece un payload inicial más pequeño, cambios de capacidad bajo demanda y una posible evasión de la detección estática. Sin embargo, aumenta la complejidad, depende de la conectividad C2 y amplía la huella de tiempo de ejecución, lo que potencialmente aumenta el riesgo de detección. CERT-UA aconseja a los usuarios bloquear la ejecución de archivos LNK, HTA y JS para interrumpir la cadena de ataque utilizada en esta campaña.