viernes, 22 de octubre de 2021

Ciberdelincuentes usan Internet Archive para distribuir troyanos en Colombia

Se trata de una campaña dirigida a entidades gubernamentales y de educación en el país, según la firma de ciberseguridad Eset.

 

La compañía ya avisó a Web Archive sobre el uso abusivo que le estaban dando
los cibercriminales al sitio. Agencia Bloomberg


Esta semana, la empresa de seguridad informática Eset alertó sobre una campaña maliciosa para distribuir troyanos en entidades del Gobierno e instituciones educativas de Colombia.

Investigadores de la firma afirman que dicha campaña tiene múltiples etapas y busca propagar njRAT y AsyncRAT, dos conocidos troyanos de acceso remoto que otorgan diversas capacidades sobre los equipos. Según Eset, los ciberdelincuentes están utilizando la biblioteca digital de Internet archive.org, para alojar las DLL maliciosas.


#ESETresearch discovers a malicious campaign targeting governmental and education entities in Colombia using multiple stages to drop AsyncRAT or njRAT Keylogger on their victims. 1/4 pic.twitter.com/lV6Y1Frj3w

— ESET research (@ESETresearch) October 15, 2021



Cabe recordar que Internet Archive es un sitio que busca recopilar y preservar contenidos, audios y otros artefactos culturales en formato digital. Es una especie de memoria o archivo de Internet.

La campaña se propaga vía correo electrónico, con archivos adjuntos que al ser ejecutados descargan y ejecutan en el equipo de la víctima las DLL maliciosas alojadas en el repositorio archive.org.

“Según datos de la telemetría de archive.org, se registraron cientos de descargas de dos de los archivos maliciosos alojados en una cuenta que ha estado siendo utilizada desde el 29 de septiembre para cargar las DLL maliciosas”, dijo Eset en una entrada de blog.

La compañía afirma que ya avisó a Web Archive sobre el uso abusivo que le estaban dando los cibercriminales al sitio.

El njRAT, es un troyano de acceso remoto que data de 2012 y le da al atacante la posibilidad de realizar acciones remotamente, como tomar capturas de pantalla y audio, registrar pulsaciones de teclado (‘keylogging’), robar credenciales, descargar y ejecutar archivos y manipular el registro de Windows, entre otras.

El AsyncRAT, explica Eset, es una herramienta de código abierto legítima diseñada para monitorear y controlar a distancia una computadora a través de una conexión cifrada que también suele ser utilizada para fines maliciosos. Ofrece funcionalidades similares a las de njRAT que les permite a los delincuentes espiar.

“A través de campañas de ingeniería social que utilizan de excusa entidades financieras, organismos de impuestos, fotomultas entre otras temáticas que resultan interesantes para usuarios distraídos, los atacantes tienen la posibilidad de instalar estas amenazas que les dan acceso remoto a la información y periféricos que utiliza el usuario en sus dispositivos”, dice Camilo Gutiérrez, jefe del laboratorio de investigación de Eset Latinoamérica.


Según Gutiérrez, este tipo de esquemas se ha vuelto muy común en los últimos meses, y además de robar información, también pueden ingresar 
ransomware a los equipos, un software malicioso que encripta datos para exigir un pago a cambio.

De hecho, en enero de este año, el equipo de Eset Research reveló detalles acerca de una campaña denominada Operación Spalax dirigida a instituciones gubernamentales y compañías de Colombia, que también distribuía troyanos de acceso remoto.


En esa ocasión, los atacantes utilizaron correos electrónicos que conducían a la descarga de archivos maliciosos. La potencial víctima debía extraer manualmente el archivo y abrirlo para que el malware se ejecute.

Expertos en ciberseguridad recomiendan a usuarios no hacer clic en todo lo que ven, revisar que los remitentes de los mensajes sean reales y no imitaciones de correos oficiales, tener actualizados los sistemas operativos de sus dispositivos y sus aplicaciones, y tener un respaldo de su información más sensible.


Fuente: El Espectador

No hay comentarios:

Publicar un comentario