Colombia, 18 de octubre – Investigadores de ESET, compañía líder en detección proactiva de amenazas, han estado monitoreando una campaña activa que apunta a organismos gubernamentales y educativos en Colombia para distribuir njRAT y AsyncRAT, dos conocidos troyanos de acceso remoto (RAT, por sus siglas en inglés) que ofrecen diversas capacidades sobre el equipo comprometido. Quienes están detrás de esta campaña de múltiples etapas, están utilizando la popular biblioteca digital de Internet archive.org, para alojar las DLL maliciosas.
Esta campaña comienza con un correo electrónico que contiene un archivo malicioso adjunto que, al ser ejecutado, descarga y ejecuta en el equipo de la víctima las DLL maliciosas alojadas en el repositorio archive.org. Según datos de la telemetría del sitio, se registraron cientos de descargas de dos de los archivos maliciosos alojados en una cuenta que ha estado siendo utilizada desde el 29 de septiembre para cargar las DLL maliciosas. Desde ESET se reportó a Web Archive sobre el uso abusivo que estaban realizando los cibercriminales del sitio.
Pie de imagen. Funcionamiento de la campaña identificada por el equipo de ESET.
En el caso de njRAT, se trata de un troyano de acceso remoto que data de 2012 y del cual existen distintas variantes. Este troyano ofrece múltiples capacidades a los actores de amenazas a la hora de realizar acciones maliciosas de forma remota en el equipo comprometido. Permite realizar capturas de pantalla, de audio y de la cámara, registrar pulsaciones de teclado (keylogging), robar credenciales, descargar y ejecutar archivos, manipular el registro de Windows, entre otras.
Por otro lado, AsyncRAT es una herramienta de código abierto legítima diseñada para monitorear y controlar a distancia una computadora a través de una conexión cifrada que también suele ser utilizada para fines maliciosos. AsyncRAT también ofrece múltiples funcionalidades similares a las de njRAT que les permite a los cibercriminales espiar en la máquina de la víctima y realizar acciones como keylogging, entre muchas otras más.
“Este tipo de esquemas para propagar amenazas informáticas se ha vuelto muy común en los últimos meses. A través de campañas de ingeniería social que utilizan de excusa entidades financieras, organismos de impuestos, fotomultas entre otras temáticas que resultan interesantes para usuarios distraídos, los atacantes tienen la posibilidad de instalar estas amenazas que les dan acceso remoto a la información y periféricos que utiliza el usuario en sus dispositivos. En campañas similares se ha podido identificar que los atacantes, además de robar información, muchas veces terminan su accionar malicioso dejando algún tipo de ransomware que puede comprometer la disponibilidad de la información de los usuarios. “, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Es importante destacar que, en enero de este año, el equipo de ESET Research reveló detalles acerca de una campaña denominada Operación Spalax dirigida a instituciones gubernamentales y compañías de Colombia, que también distribuía los populares troyanos de acceso remoto njRAT y AsyncRAT, además de Remcos.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/10/19/campana-malware-activa-apunta-entidades-gubernamentales-educacion-colombia/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/episode/4Sf2hGkLa7pypcXvBG7Y1E?go=1&sp_cid=d59a556ae725637a76c4496f5e1838ec&t=2&utm_source=embed_player_p&utm_medium=desktop&nd=1