Conéctate con nosotros
Publicidad

Redes

Cuidado con esta campaña de espionaje activa en América Latina

Publicado

el

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, detectó que se estaba llevando adelante una campaña de espionaje que apuntaba a redes corporativas en varios países de habla hispana, con el 90% de las detecciones en Venezuela. Teniendo en cuenta el malware utilizado (conocido como Bandook) y el interés en blancos de una región en particular, nombraron a la campaña con el nombre de Bandidos.

ESET registró más de 200 detecciones de este malware en Venezuela en 2021, pero no identificó un sector en particular siendo apuntado por esta campaña. Según datos de su telemetría los principales intereses de los atacantes son redes corporativas en Venezuela; algunas corresponden a empresas manufactureras, otras a sectores como la construcción, atención médica, servicios de software e incluso minoristas. Dadas las capacidades del malware y el tipo de información exfiltrada, parecería que el objetivo principal de Bandidos es el espionaje. Sus víctimas y el método para abordarlas se parecen más a los de una operación de ciberdelito que a las actividades que realizan grupos de APT.

El ataque comienza con correos electrónicos que incluyen un archivo PDF malicioso como adjunto y que son enviados a los blancos de ataque. El archivo PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer.

Los correos electrónicos que contienen estos archivos adjuntos suelen incluir mensajes breves. El número de teléfono en la parte inferior del mensaje es un número de teléfono móvil en Venezuela, pero desde ESET aseguran que es poco probable que esté relacionado de alguna manera con los atacantes.

Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en los archivos PDF adjuntos que utilizan. Las URL abreviadas redirigen a servicios de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware.

Bandook es un antiguo troyano de acceso remoto (RAT). El informe publicado por EFF, Operation Manul, describe el uso de Bandook en ataques que apuntaban a periodistas y disidentes en Europa. En 2018, Lookout publicó una investigación en la que descubrió otras campañas de espionaje, que tenían diferentes objetivos, pero usaban la misma infraestructura. Finalmente, el informe de Check Point en 2020 mostró que los atacantes comenzaron a usar ejecutables firmados para apuntar a varios mercados verticales en distintos países. Estos informes mencionan que los desarrolladores de Bandook ofrecen el malware como servicio (MaaS, por sus siglas en inglés). Durante este año ESET identificó esta campaña activa, que apunta a países de habla hispana, en la que Venezuela es el principal objetivo pero afecta también a Colombia, España, Perú, Ecuador, Chile, México, Panamá, Bahamas, Uruguay, entre otros países.

El objetivo principal del dropper es decodificar, descifrar y ejecutar el payload y asegurarse de que el malware persista en un sistema comprometido. A continuación, se muestra una lista de lo que el atacante es capaz de hacer en la máquina de la víctima:

Manipular el navegador Chrome

Manipular archivos:

– Comprimir un archivo

– Dividir un archivo

– Buscar un archivo

– Cargar un archivo

Enviar archivos al servidor C&C

Manipular USB

Obtener conexiones Wi-Fi

Iniciar una shell

DDoS

Cerrar sesión en Skype

Manipular la pantalla de la víctima

Manipular la cámara web de la víctima

Grabar sonido

Ejecutar programas maliciosos

“Bandook es un RAT activo desde 2005. Su participación en diferentes campañas de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta relevante para los cibercriminales. Además, si tenemos en cuenta las modificaciones realizadas al malware a lo largo de los años, nos muestra el interés de los ciberdelincuentes por seguir utilizando este malware en campañas maliciosas, haciéndolo más sofisticado y difícil de detectar. Aunque existen pocas campañas documentadas en América Latina, como Machete u Operación Spalax, Venezuela es un país que, por su situación geopolítica, es probable que sea objetivo de campañas de ciberespionaje.”, agregó, Fernando Tavella, uno de los especialistas de ESET a cargo de esta investigación.

Continuar leyendo

Redes

Crean dispositivo asistencial para personas con discapacidad

Publicado

el

➡ Estudiante de la Unidad Académica Multidisciplinaria Región Altiplano participó en 30 Verano de la Ciencia de la UASLP

(más…)

Continuar leyendo

Secciones

Tendencia