Publicidad

Detectan campaña de ciberespionaje en América Latina

El malware apunta principalmente a Venezuela, pero también afecta a redes corporativas de Colombia, Perú, Ecuador, Chile, México, Panamá y Uruguay, entre otros países de habla hispana.

Así lo descubrió el equipo de investigación de ESET, compañía de detección proactiva de amenazas. Teniendo en cuenta el malware utilizado (conocido como Bandook) y el interés en blancos de una región en particular, nombraron a la campaña con el nombre de Bandidos.

ESET registró más de 200 detecciones de este malware en Venezuela en 2021, pero no identificó un sector en particular siendo apuntado por esta campaña. Según datos de su telemetría los principales intereses de los atacantes son redes corporativas en Venezuela; algunas corresponden a empresas manufactureras, otras a sectores como la construcción, atención médica, servicios de software e incluso minoristas.

Dadas las capacidades del malware y el tipo de información exfiltrada, parecería que el objetivo principal de Bandidos es el espionaje. Sus víctimas y el método para abordarlas se parecen más a los de una operación de ciberdelito que a las actividades que realizan grupos de APT.

El ataque comienza con correos electrónicos que incluyen un archivo PDF malicioso como adjunto y que son enviados a los blancos de ataque. El archivo PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer.

Los correos electrónicos que contienen estos archivos adjuntos suelen incluir mensajes breves. El número de teléfono en la parte inferior del mensaje es un número de teléfono móvil en Venezuela, pero desde ESET aseguran que es poco probable que esté relacionado de alguna manera con los atacantes.

Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en los archivos PDF adjuntos que utilizan. Las URL abreviadas redirigen a servicios de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware.

Bandook es un antiguo troyano de acceso remoto (RAT). El informe publicado por EFF, Operation Manul, describe el uso de Bandook en ataques que apuntaban a periodistas y disidentes en Europa. En 2018, Lookout publicó una investigación en la que descubrió otras campañas de espionaje, que tenían diferentes objetivos, pero usaban la misma infraestructura.

Finalmente, el informe de Check Point en 2020 mostró que los atacantes comenzaron a usar ejecutables firmados para apuntar a varios mercados verticales en distintos países. Estos informes mencionan que los desarrolladores de Bandook ofrecen el malware como servicio (MaaS, por sus siglas en inglés).

Durante este año ESET identificó esta campaña activa, que apunta a países de habla hispana, en la que Venezuela es el principal objetivo pero afecta también a Colombia, España, Perú, Ecuador, Chile, México, Panamá, Bahamas, Uruguay, entre otros paises.

El objetivo principal del dropper es decodificar, descifrar y ejecutar el payload y asegurarse de que el malware persista en un sistema comprometido. A continuación, se muestra una lista de lo que el atacante es capaz de hacer en la máquina de la víctima:

Agregue a Q'hubo Bucaramanga a sus fuentes de información favoritas en Google Noticias aquí.
Publicidad

Otros artículos

Síguenos

0SeguidoresSeguir
4,304SeguidoresSeguir
4,780SuscriptoresSuscribirte
Publicidad

Últimos artículos

Publicidad
Publicidad