La empresa eslovaca de seguridad en Internet ESET compartió algunos detalles sobre una campaña de ciberespionaje en curso dirigida exclusivamente a entidades del gobierno colombiano y empresas privadas, especialmente en las industrias energética y metalúrgica. Para llevar a cabo sus actividades de vigilancia, los atacantes se basan en tres troyanos de acceso remoto (RAT), a saber, Remcos, njRAT y AsyncRAT.
La campaña, denominada “Operación Spalax” ha estado activa desde 2020 y comparte algunas similitudes con ataques anteriores de un grupo de APT dirigidos al país desde al menos abril de 2018, aunque difiere en muchos aspectos, lo que dificulta la atribución.
Las víctimas son atacadas con correos electrónicos de phishing disfrazados como una notificación para tomar una prueba COVID-19 obligatoria, asistir a una audiencia judicial o pagar multas de tráfico que, cuando se abren, conducen a la descarga de archivos maliciosos. La mayoría de los correos electrónicos observados contenían un documento PDF con un enlace que, al hacer clic en él, desencadena la descarga de archivos maliciosos. Estos archivos son archivos RAR regulares que tienen un archivo ejecutable dentro. Estos archivos se alojan en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire.
Los archivos RAR contienen varios cuentagotas responsables de descifrar y ejecutar RAT como Remcos, njRAT y AsyncRAT en un dispositivo comprometido. Estas herramientas proporcionan numerosas capacidades, como control remoto, así como registro de teclas, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware.
En algunos casos observados por ESET, también se descubrió que los atacantes usaban droppers AutoIt muy ofuscados que usaban código de shell para descifrar la carga útil y otro para inyectarlo en un proceso que ya se estaba ejecutando.
“Durante nuestra investigación, vimos aproximadamente 70 nombres de dominio diferentes utilizados para C&C en la segunda mitad de 2020. Esto equivale a al menos 24 direcciones IP. Al girar en datos de DNS pasivos para direcciones IP y nombres de dominio conocidos, descubrimos que los atacantes han utilizado al menos 160 nombres de dominio adicionales desde 2019. Esto corresponde a al menos 40 direcciones IP más ”, dijo ESET. "Han logrado operar a tal escala mediante el uso de servicios de DNS dinámico".
“Los ataques de malware dirigidos contra entidades colombianas se han ampliado desde las campañas que se describieron el año pasado. El panorama ha cambiado de una campaña que tenía un puñado de servidores de C&C y nombres de dominio a una campaña con una infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019. A pesar de que los TTP han visto cambios, no solo en cómo es el malware. entregados en correos electrónicos de phishing pero también en las RAT utilizadas, un aspecto que permanece igual es que los ataques siguen siendo dirigidos y enfocados a entidades colombianas, tanto del sector público como del privado ”, concluyeron los investigadores.
