Descubren campaña de espionaje a redes corporativas en Latinoamérica
Según una investigación de la firma de ciberseguridad Eset, la campaña apunta a Venezuela, pero tiene potencial para afectar a redes en Colombia, Perú, Chile y México, entre otros países.
Las amenazas cibernéticas no se detienen en la región. Esta semana, el equipo de investigación de Eset, una compañía de seguridad informática con más de treinta años, informó sobre una campaña de espionaje que estaría activa en Latinoamérica.
Según la investigación, la campaña maliciosa apunta a redes corporativas en varios países de la región, pero especialmente en Venezuela, con el 90 % de las detecciones hechas por Eset (más de 200 en 2021).
Lea también: ¿Cómo identificar un correo electrónico falso?
En una publicación divulgada el miércoles, la firma aseguró que no identificó un sector económico en particular que esté siendo objeto de espionaje, pero hay un especial interés en redes corporativas de empresas manufactureras, de construcción, atención médica, servicios de software e incluso minoristas.
¿Cómo opera?
Al igual que muchos ataques dirigidos a empresas, esta campaña se basa en el envío de correos electrónicos que incluyen un archivo PDF malicioso como adjunto.
Los correos suelen incluir mensajes breves, dice el equipo. Al final de los mensajes hay un número de teléfono móvil en Venezuela, pero desde Eset aseguran que es poco probable que esté relacionado de alguna manera con los atacantes.
Eset encontró que el PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. Bandook es un antiguo troyano de acceso remoto (RAT) que ha sido utilizado en ataques contra periodistas y personas de interés, como lo ha reportado la Electronic Frontier Foundation (EFF).
Eset también se refirió a un informe de Check Point de 2020 que indica que los desarrolladores de Bandook ofrecen el malware como servicio (MaaS, por sus siglas en inglés).
“Bandook es un RAT activo desde 2005. Su participación en diferentes campañas de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta relevante para los cibercriminales. Además, si tenemos en cuenta las modificaciones realizadas al malware a lo largo de los años, nos muestra el interés de los ciberdelincuentes por seguir utilizando este malware en campañas maliciosas, haciéndolo más sofisticado y difícil de detectar”, dijo Fernando Tavella, uno de los especialistas de Eset a cargo de la investigación.
Le puede interesar: ¿Qué es el ‘ransomware’, el ciberataque perpetrado contra JBS?
También advirtieron que en este esquema utilizan acortadores de URL como Rebrandly o Bitly en los archivos PDF. Las URL abreviadas redirigen a servicios de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware.
El objetivo principal del dropper es decodificar, descifrar y ejecutar el payload y asegurarse de que el malware persista en un sistema comprometido. Esto es lo que los atacantes podrían hacer en el equipo de su víctima, según Eset:
- Manipular el navegador Chrome
- Manipular archivos:
- Comprimir un archivo
- Dividir un archivo
- Buscar un archivo
- Cargar un archivo
- Enviar archivos al servidor C&C
- Manipular USB
- Obtener conexiones Wi-Fi
- Iniciar una shell
- DDoS
- Cerrar sesión en Skype
- Manipular la pantalla de la víctima
- Manipular la cámara web de la víctima
- Grabar sonido
- Ejecutar programas maliciosos
“Aunque existen pocas campañas documentadas en América Latina, como Machete u Operación Spalax, Venezuela es un país que, por su situación geopolítica, es probable que sea objetivo de campañas de ciberespionaje”, agregó Tavella.
Aún así, el equipo dice que este esquema puede afectar también a Colombia, España, Perú, Ecuador, Chile, México, Panamá, Bahamas y Uruguay, entre otros países de la región.
Las amenazas cibernéticas no se detienen en la región. Esta semana, el equipo de investigación de Eset, una compañía de seguridad informática con más de treinta años, informó sobre una campaña de espionaje que estaría activa en Latinoamérica.
Según la investigación, la campaña maliciosa apunta a redes corporativas en varios países de la región, pero especialmente en Venezuela, con el 90 % de las detecciones hechas por Eset (más de 200 en 2021).
Lea también: ¿Cómo identificar un correo electrónico falso?
En una publicación divulgada el miércoles, la firma aseguró que no identificó un sector económico en particular que esté siendo objeto de espionaje, pero hay un especial interés en redes corporativas de empresas manufactureras, de construcción, atención médica, servicios de software e incluso minoristas.
¿Cómo opera?
Al igual que muchos ataques dirigidos a empresas, esta campaña se basa en el envío de correos electrónicos que incluyen un archivo PDF malicioso como adjunto.
Los correos suelen incluir mensajes breves, dice el equipo. Al final de los mensajes hay un número de teléfono móvil en Venezuela, pero desde Eset aseguran que es poco probable que esté relacionado de alguna manera con los atacantes.
Eset encontró que el PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. Bandook es un antiguo troyano de acceso remoto (RAT) que ha sido utilizado en ataques contra periodistas y personas de interés, como lo ha reportado la Electronic Frontier Foundation (EFF).
Eset también se refirió a un informe de Check Point de 2020 que indica que los desarrolladores de Bandook ofrecen el malware como servicio (MaaS, por sus siglas en inglés).
“Bandook es un RAT activo desde 2005. Su participación en diferentes campañas de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta relevante para los cibercriminales. Además, si tenemos en cuenta las modificaciones realizadas al malware a lo largo de los años, nos muestra el interés de los ciberdelincuentes por seguir utilizando este malware en campañas maliciosas, haciéndolo más sofisticado y difícil de detectar”, dijo Fernando Tavella, uno de los especialistas de Eset a cargo de la investigación.
Le puede interesar: ¿Qué es el ‘ransomware’, el ciberataque perpetrado contra JBS?
También advirtieron que en este esquema utilizan acortadores de URL como Rebrandly o Bitly en los archivos PDF. Las URL abreviadas redirigen a servicios de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware.
El objetivo principal del dropper es decodificar, descifrar y ejecutar el payload y asegurarse de que el malware persista en un sistema comprometido. Esto es lo que los atacantes podrían hacer en el equipo de su víctima, según Eset:
- Manipular el navegador Chrome
- Manipular archivos:
- Comprimir un archivo
- Dividir un archivo
- Buscar un archivo
- Cargar un archivo
- Enviar archivos al servidor C&C
- Manipular USB
- Obtener conexiones Wi-Fi
- Iniciar una shell
- DDoS
- Cerrar sesión en Skype
- Manipular la pantalla de la víctima
- Manipular la cámara web de la víctima
- Grabar sonido
- Ejecutar programas maliciosos
“Aunque existen pocas campañas documentadas en América Latina, como Machete u Operación Spalax, Venezuela es un país que, por su situación geopolítica, es probable que sea objetivo de campañas de ciberespionaje”, agregó Tavella.
Aún así, el equipo dice que este esquema puede afectar también a Colombia, España, Perú, Ecuador, Chile, México, Panamá, Bahamas y Uruguay, entre otros países de la región.