Durante el 2020 ESET, compañía líder en detección proactiva de
amenazas, identificó una serie de ataques dirigidos exclusivamente a entidades
colombianas a la que se denominó Operación Spalax. Estos ataques, que por el
momento están en curso, se centran tanto en instituciones gubernamentales como
en empresas privadas, siendo los sectores energético y metalúrgico los más
apuntados. Los atacantes utilizan troyanos de acceso remoto, probablemente para
realizar tareas de ciberespionaje. Los actores de estas amenazas muestran un
uso perfecto del idioma español en los correos electrónicos que envían y solo
apuntan a entidades colombianas. Los blancos apuntados son abordados mediante correos electrónicos que
conducen a la descarga de archivos maliciosos. En la mayoría de los casos,
estos correos tienen un documento PDF adjunto que contiene un enlace en el que
el usuario debe hacer clic para descargar el malware. Los archivos descargados
son archivos RAR con un archivo ejecutable dentro, estos archivos se alojan en
servicios de alojamiento legítimos, como OneDrive o MediaFire. La potencial
víctima tiene que extraer manualmente el archivo y abrirlo para que el malware
se ejecute. El propósito es tener un troyano de acceso remoto ejecutándose en la
computadora víctima.
Imagen 1. Descripción general del ataque Los atacantes utilizan varios temas para sus correos electrónicos, pero
en la mayoría de los casos no están especialmente diseñados para sus víctimas.
Por el contrario, en los correos se hace referencia a temas genéricos que
podrían reutilizarse para diferentes objetivos. Se identificaron correos
electrónicos de phishing con estos temas: - Una notificación sobre una infracción de tránsito - Una notificación indicando que debe realizarse una prueba de COVID-19
obligatoria - Una notificación para asistir a una audiencia judicial - Una investigación abierta contra el destinatario por malversación de
fondos públicos - Una notificación de un embargo de cuentas bancarias El correo electrónico que se muestra en la Imagen 2, pretende ser una
notificación de una infracción de tránsito. Se adjunta un archivo PDF que
promete una foto de la infracción, así como información sobre la hora y el
lugar del incidente. Se ha falsificado al remitente para que parezca que el
correo electrónico proviene de SIMIT (sistema para pagar las infracciones de
tránsito). El archivo PDF solo contiene un enlace externo, previamente
acortado, que una vez abierta descarga el archivo RAR.
Imagen 2. Ejemplo de un correo electrónico de phishing
Imagen 3. PDF adjunto al correo electrónico de phishing Los payloads utilizados en Operación Spalax son troyanos de acceso
remoto. Estos brindan varias capacidades no solo para el control remoto, sino
también para espiar a sus objetivos: registro de las pulsaciones de teclado,
captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la
capacidad de descargar y ejecutar otro malware, entre otras opciones. En cuanto a las direcciones IP utilizadas por los atacantes, casi todas
están en Colombia. Como es muy poco probable que los delincuentes posean tantas
direcciones IP residenciales, es posible que utilicen algunas víctimas o
dispositivos vulnerables para reenviar la comunicación a sus servidores reales. Los ataques identificados por ESET coinciden con reportes previos de
otros grupos que ya tenía a Colombia como objetivo. Pero al tener muchas otras
características diferentes, resulta más complejo poder atribuir esta campaña. “Los ataques de malware dirigidos contra entidades colombianas se han
incrementado desde las campañas descritas el año pasado. El panorama ha
cambiado y pasó de una campaña que tenía un puñado de servidores C&C (de
comando y control) y nombres de dominio, a una con infraestructura muy grande y
que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019.
Sin embargo, un aspecto que permanece igual es que los ataques aún están
dirigidos y enfocados en entidades colombianas, tanto del sector público como
del privado. Es de esperar que estos ataques continúen en la región, por lo que
seguiremos monitoreando estas actividades “, comenta Matías Porolli,
investigador de ESET que realizó la investigación sobre Spalax. Para conocer más sobre esta investigación ingrese al portal de
noticias: https://www.welivesecurity.com/la-es/2021/01/12/operacion-spalax-ataques-malware-dirigidos-colombia/
0 Comentarios