Según una investigación de la firma de ciberseguridad Eset, la campaña apunta a Venezuela, pero tiene potencial para afectar a redes en Colombia, Perú, Chile y México, entre otros países.
 |
| Los atacantes podrían manipular archivos, tener acceso a la pantalla o cámara web de la víctima y grabar sonido, entre otras cosas. Pixabay |
Las amenazas cibernéticas no se detienen en la región. Esta semana, el equipo de investigación de Eset, una compañía de seguridad informática con más de treinta años, informó sobre una campaña de espionaje que estaría activa en Latinoamérica.
Según la investigación, la campaña maliciosa apunta a redes corporativas en varios países de la región, pero especialmente en Venezuela, con el 90 % de las detecciones hechas por Eset (más de 200 en 2021).
En una publicación divulgada el miércoles, la firma aseguró que no identificó un sector económico en particular que esté siendo objeto de espionaje, pero hay un especial interés en redes corporativas de empresas manufactureras, de construcción, atención médica, servicios de software e incluso minoristas.
¿Cómo opera?
Al igual que muchos ataques dirigidos
a empresas, esta campaña se basa en el envío de correos electrónicos que
incluyen un archivo PDF malicioso como adjunto.
Los correos suelen incluir mensajes breves, dice el equipo. Al final de los
mensajes hay un número de teléfono móvil en Venezuela, pero desde Eset aseguran
que es poco probable que esté relacionado de alguna manera con los atacantes.
Eset encontró que el PDF contiene un enlace para descargar un archivo
comprimido y la contraseña para extraerlo. Dentro del archivo hay un
ejecutable: un dropper que inyecta Bandook en un proceso de
Internet Explorer. Bandook es un antiguo troyano de acceso remoto (RAT) que ha
sido utilizado en ataques contra periodistas y personas de interés, como lo ha reportado la Electronic Frontier
Foundation (EFF).
Eset también se refirió a un informe de Check Point de 2020 que indica
que los desarrolladores de Bandook ofrecen el malware como
servicio (MaaS, por sus siglas en inglés).
“Bandook es un RAT activo desde 2005. Su participación en diferentes campañas
de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta
relevante para los cibercriminales. Además, si tenemos en cuenta las
modificaciones realizadas al malware a lo largo de los años, nos muestra el
interés de los ciberdelincuentes por seguir utilizando este malware en campañas
maliciosas, haciéndolo más sofisticado y difícil de detectar”, dijo Fernando
Tavella, uno de los especialistas de Eset a cargo de la investigación.
También advirtieron que en este esquema utilizan acortadores de URL como
Rebrandly o Bitly en los archivos PDF. Las URL abreviadas redirigen a servicios
de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud,
desde donde se descarga el malware.
El objetivo principal del dropper es decodificar, descifrar y ejecutar el
payload y asegurarse de que el malware persista en un sistema comprometido.
Esto es lo que los atacantes podrían hacer en el equipo de su víctima, según
Eset:
Manipular el navegador Chrome
Manipular archivos:
Comprimir un archivo
Dividir un archivo
Buscar un archivo
Cargar un archivo
Enviar archivos al servidor C&C
Manipular USB
Obtener conexiones Wi-Fi
Iniciar una shell
DDoS
Cerrar sesión en Skype
Manipular la pantalla de la víctima
Manipular la cámara web de la víctima
Grabar sonido
Ejecutar programas maliciosos
“Aunque existen pocas campañas documentadas en América Latina, como Machete u
Operación Spalax, Venezuela es un país que, por su situación geopolítica, es
probable que sea objetivo de campañas de ciberespionaje”, agregó Tavella.
Aun así, el equipo dice que este esquema puede afectar también a Colombia, España, Perú, Ecuador, Chile, México, Panamá, Bahamas y Uruguay, entre otros países de la región.
Fuente: El Espectador
No hay comentarios:
Publicar un comentario