Expertos descubren ataques de malware contra el gobierno y las empresas colombianas

software malicioso de piratas informáticos

Los investigadores de seguridad cibernética revelaron una campaña de vigilancia en curso dirigida contra las instituciones del gobierno colombiano y las empresas privadas de las industrias energética y metalúrgica.

En un informe publicado por ESET el martes, la compañía de seguridad de Internet eslovaca dijo que los ataques, denominados «Operación Spalax», comenzaron en 2020, con el modus operandi compartiendo algunas similitudes con un grupo APT que apunta al país desde al menos abril de 2018, pero también diferente en otros aspectos.

Las superposiciones se presentan en forma de correos electrónicos de phishing, que tienen temas similares y pretenden provenir de algunas de las mismas entidades que se usaron en una operación de febrero de 2019 revelada por investigadores de QiAnXin, y nombres de subdominio usados ​​para comando y control (C2) servidores.

Sin embargo, las dos campañas difieren en los archivos adjuntos utilizados para los correos electrónicos de phishing, los troyanos de acceso remoto (RAT) implementados y la infraestructura C2 empleada para recuperar el malware eliminado.

La cadena de ataque comienza cuando los objetivos reciben correos electrónicos de phishing que conducen a la descarga de archivos maliciosos, que son archivos RAR alojados en OneDrive o MediaFire que contienen varios cuentagotas responsables de descifrar y ejecutar RAT como Remcos, njRAT y AsyncRAT en una computadora víctima.

ataques de malware

Los correos electrónicos de phishing cubren una amplia gama de temas, incluidos los relacionados con infracciones de tránsito, asistir a audiencias judiciales y realizar las pruebas obligatorias de COVID-19, lo que aumenta la probabilidad de que los usuarios desprevenidos abran los mensajes.

En un escenario alternativo observado por ESET, también se descubrió que los atacantes usaban droppers AutoIt muy ofuscados que usaban shellcode para descifrar la carga útil y otra para inyectarla en un proceso que ya estaba en ejecución.

Las RAT no solo vienen con capacidades de control remoto, sino también para espiar objetivos al capturar pulsaciones de teclas, grabar capturas de pantalla, robar datos del portapapeles, filtrar documentos confidenciales e incluso descargar y ejecutar otro malware.

El análisis de ESET también reveló una arquitectura C2 escalable operada con un servicio de DNS dinámico que les permitió asignar dinámicamente un nombre de dominio a una dirección IP de un grupo de 70 nombres de dominio diferentes y 24 direcciones IP solo en la segunda mitad de 2020.

«Los ataques de malware dirigidos contra entidades colombianas se han intensificado desde las campañas que se describieron el año pasado», concluyeron los investigadores. «El panorama ha cambiado de una campaña que tenía un puñado de servidores C2 y nombres de dominio a una campaña con una infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática