Una ola de ataques contra empresas en Columbia utiliza un trío de troyanos de acceso remoto (RAT) para robar datos confidenciales y sensibles.

La campaña, denominada Operación Spalax , fue revelada por investigadores de ESET el martes.

En una publicación de blog, la firma de ciberseguridad dijo que el gobierno y las entidades privadas en Columbia están siendo el objetivo exclusivo de los actores de amenazas, que parecen tener un interés particular en las industrias energética y metalúrgica.

ESET comenzó a rastrear la campaña, que está en curso, en la segunda mitad de 2020 cuando al menos 24 direcciones IP, probablemente dispositivos comprometidos que actúan como proxies para los servidores de comando y control (C2) de los atacantes, se vincularon a una serie de ataques. .

Para comenzar la cadena de infección contra una entidad objetivo, los actores de amenazas utilizan un método tradicional: correos electrónicos de phishing. Los temas de estos mensajes fraudulentos van desde demandas para asistir a audiencias judiciales hasta advertencias y notificaciones de congelamiento de cuentas bancarias para tomar una prueba COVID-19 obligatoria.

En algunas muestras se suplantó a agencias como la Fiscalía General de la Nación (Fiscalía General de la Nación) y la Dirección Nacional de Impuestos y Aduanas (DIAN).

Cada correo electrónico tiene un archivo .PDF adjunto, vinculado a un archivo .RAR. Si la víctima descarga el paquete, ubicado en OneDrive, MediaFire y otros servicios de alojamiento, un archivo ejecutable dentro desencadena el malware.

Los actores de amenazas utilizan una selección de goteros y empaquetadores para implementar las cargas útiles de los troyanos, el propósito de todos es ejecutar un RAT inyectándolo en un proceso legítimo.

Las tres cargas útiles están disponibles comercialmente y no han sido desarrolladas internamente por los ciberatacantes.

El primero es Remcos, malware disponible en foros clandestinos por tan solo $ 58 . El segundo RAT es njRAT, un troyano descubierto recientemente en campañas que utilizan Pastebin como alternativa a las estructuras C2, y el tercero es AsyncRAT, una herramienta de administración remota de código abierto.

“No existe una relación de uno a uno entre los cuentagotas y las cargas útiles, ya que hemos visto diferentes tipos de cuentagotas que ejecutan la misma carga útil y también un solo tipo de cuentagotas conectado a diferentes cargas útiles”, señala ESET. “Sin embargo, podemos afirmar que los goteros NSIS en su mayoría descartan Remcos, mientras que los empacadores Agent Tesla y AutoIt normalmente descartan njRAT”.

Las RAT pueden proporcionar control de acceso remoto a los actores de amenazas y también contienen módulos para registro de teclas, captura de pantalla, recolección de contenido del portapapeles, exfiltración de datos y descarga y ejecución de malware adicional, entre otras funciones.

Según ESET, no hay pistas concretas para la atribución, sin embargo, hay algunas superposiciones con APTC36, también conocido como Blind Eagle. Esta APT se conectó a ataques en 2019 contra entidades colombianas con el fin de robar información sensible.

El uso de los servicios de DNS dinámicos por parte del atacante significa que la infraestructura de la campaña también cambia constantemente, con nuevos nombres de dominio que se registran para su uso contra empresas colombianas de forma regular.

ESET también señaló vínculos a investigaciones realizadas por Trend Micro en 2019 . Las tácticas de suplantación de identidad son similares, pero mientras que el informe de Trend Micro se relaciona con el espionaje y potencialmente el objetivo de las cuentas financieras, ESET no ha detectado ningún uso de cargas útiles más allá del ciberespionaje. Sin embargo, la compañía reconoce que algunos de los objetivos de la campaña actual, incluida una agencia de lotería, no parecen tener un sentido lógico solo para las actividades de espionaje.

La firma de ciberseguridad agregó que debido a la gran y cambiante infraestructura de esta campaña, debemos esperar que estos ataques continúen en la región en el futuro previsible.


Fuente: Link

close

LET’S KEEP IN TOUCH!

We’d love to keep you updated with our latest news and offers 😎

We don’t spam! Read our privacy policy for more info.

About the author: Eduardo Kando WiseGroup Manager
Estoy aqui para ayudar y guiar a todos los visitantes de la Web de WisePlant. Será un gusto responder a sus consultas, conocer sus inquietudes y recibir sus recomendaciones para mejorar nuestros servicios.