Ciberespionaje afecta al gobierno de Colombia y otros países de Latinoamérica

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un grupo de expertos en ciberseguridad de ESET ha detallado el despliegue de una campaña de vigilancia contra las instituciones del gobierno de Colombia, además de algunas compañías de energía y metalúrgicas. Identificada como “Operación Spalax”, esta campaña habría comenzado a mediados de 2020 y fue atribuida a un grupo de hackers activo desde 2018 debido a las similitudes entre ambas campañas.

Los expertos señalan que las dos operaciones detectadas emplearon emails de phishing similares, no obstante, los archivos adjuntos empleados para entregar el malware a las víctimas y la infraestructura C&C es diferente.

FUENTE: ESET

Al parecer, la cadena de ataque comienza cuando las víctimas reciben el email que lleva a la descarga de archivos maliciosos, que son archivos RAR alojados en OneDrive o MediaFire. Estos archivos incluyen cargas adicionales para descifrar y ejecutar comandos remotos en el sistema afectado. Los hackers tratarán de llamar la atención de las víctimas con toda clase de contenido en el correo electrónico fraudulento, con temas como multas de tránsito, pruebas de COVID-190, ofertas en grandes almacenes o asistencia jurídica.

Los expertos también detectaron que los actores de amenazas podrían usar droppers Autolt como shellcode para descifrar la carga útil e inyectarla en un proceso en ejecución. La carga útil cuenta con capacidades para el control remoto y el espionaje del sistema objetivo, registro del teclado y capturas de pantalla, además de la extracción de documentos.

FUENTE: ESET

Los hackers operan una arquitectura C&C escalada mediante un servicio de DNS dinámico, lo que permite asignar dinámicamente un nombre de dominio a una dirección IP de entre un grupo de 70 nombres de dominio diferentes, dificultando su detección.

Las agencias afectadas aún no se pronuncian al respecto, aunque los expertos prevén que el gobierno colombiano vinculará este ataque a actores de amenazas patrocinados por algún gobierno extranjero. El reporte completo está disponible en las plataformas oficiales de ESET.  

Vía | Noticias Seguridad