Buenos Aires, Argentina - El Laboratorio de Investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, analizó una campaña de espionaje apuntada a blancos de alto perfil de Colombia que se registró durante diciembre de 2022. Los cibercriminales detrás de esta campaña, denominada “Operación Absoluta”, lanzaron sus ataques a entidades gubernamentales y compañías privadas de industrias como la construcción, entre otras.
“El objetivo de la campaña era descargar en los sistemas de las víctimas un Troyano de Acceso Remoto conocido como AsyncRAT, que permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, acceder a archivos y carpetas, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso descargar en el equipo malware adicional.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Una cualidad que caracteriza a “Operación Absoluta” y por la cual se ha decidido llamar así a esta campaña es la técnica de ofuscamiento que emplea, ya que utiliza diversas operaciones matemáticas, como el cálculo de valor absoluto. Es posible que esta característica haya sido utilizada para evadir alguna solución de seguridad o hacer más difícil la tarea de análisis.
Imagen 1 - Diagrama de infección
En la Imagen 1 se puede observar cómo es el proceso de infección de esta campaña, partiendo desde la recepción de un correo electrónico que tiene adjunto un documento Word, el cual contiene un enlace que descarga un archivo desde Google Drive, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: AsyncRAT. Esta campaña posee diferentes etapas que incluyen correos de Spearphishing, el uso de droppers y de un troyano.
La primera etapa tiene la finalidad de descargar y ejecutar un archivo Batch (archivo de procesamiento por lotes). Esto lo hace por medio del envío de un enlace que se encuentra en el documento adjunto dentro del correo que reciben las víctimas. Este enlace dirige a las víctimas a la descarga de un archivo comprimido, que está alojado en Google Drive y protegido con contraseña. La contraseña para abrirlo se encuentra dentro del mismo correo. Para captar la atención de las víctimas, los cibercriminales utilizan diferentes engaños relacionados con supuestas demandas o procesos judiciales que los usuarios poseen.
Imagen 2 - Ejemplo de phishing utilizado en la campaña
Imagen 3 – Ejemplo de un archivo de documento de Office utilizado en esta campaña
Como se observa en la Imagen 2 y 3, los cibercriminales utilizan como excusa correos relacionados con demandas o procesos judiciales para provocar preocupación y que las potenciales víctimas los abran. La información en el correo utiliza datos de profesionales reales a los que se suplanta su identidad. De hecho, algunas firmas de abogados han alertado sobre estos correos.
En la segunda etapa de la campaña se procede a ejecutar dos ejecutables maliciosos, cada uno con un objetivo distinto. Uno de ellos es utilizado para evadir mecanismos de seguridad, mientras que el otro para ejecutar el Payload final y generar persistencia.
La tercera etapa ya es cuando se utiliza AsyncRAT. Esta es una herramienta de acceso remoto que, si bien es de código abierto y legítima, lamentablemente como sucede con muchas otras herramientas es aprovechada para fines delictivos, como tener acceso y control total de los equipos de las víctimas. Algunas de las características y capacidades de AsyncRAT son:
• Control remoto completo del sistema infectado.
• Capacidad para ejecutar comandos y acceder a archivos y carpetas en el sistema.
• Capacidad para capturar y transmitir imágenes de la pantalla.
• Capacidad para registrar las pulsaciones del teclado.
• Capacidad para descargar y ejecutar archivos adicionales.
Una vez que el Laboratorio de ESET identificó la actividad de “Operación Absoluta”, le reportó a Google la URL utilizada por los cibercriminales para la campaña. En consecuencia, este enlace fue dado de baja, lo que impidió que se siguiera propagando la amenaza mediante el enlace reportado.
“Es importante mencionar que Operación Absoluta es un nuevo ejemplo de cómo los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando malware disponible para su compra o descarga gratuita en foros y grupos de cibercrimen.”, señala Gutiérrez Amaya.
En 2021 ESET analizó una campaña denominada Bandidos en la cual los actores maliciosos utilizaron el RAT Bandook, disponible en mercados de la dark web, para llevar adelante ataques apuntando a redes corporativas de empresas de distintas industrias en Venezuela. Ese mismo año también se publicaron detalles sobre Operación Spalax, una campaña dirigida a instituciones gubernamentales y compañías de Colombia utilizando los troyanos de acceso remoto Remcos, njRAT y AsyncRAT.
En 2022 se analizaron otras dos campañas de espionaje que utilizaron códigos maliciosos conocidos y disponibles públicamente. Una de ellas fue Operación Discordia, la cual apuntó a empresas de distintas industrias, organizaciones sin fines de lucro y organismos gubernamentales de Colombia utilizando njRAT; y la otra fue Operación Pulpo Rojo, una campaña enfocada en Ecuador que apuntó a empresas y organismos gubernamentales utilizando el popular Remcos.
“Si bien Operación Absoluta presenta similitudes con todas estas campañas en cuanto a la modalidad general de envío de malspam y el uso de commodity malware, como es AsyncRAT, no se puede atribuir este ataque al mismo grupo de amenazas que desplegó alguna de las anteriores campañas. Como se puede ver, más allá de la sofisticación que puedan tener algunas campañas que llevan adelante grupos de APT a nivel global, la creciente cantidad de campañas con fines de espionaje dirigidas a blancos específicos en América Latina muestra que este modus operandi parece resultar efectivo a los grupos que las operan y que las empresas y organismos de gobierno de la región deben estar atentas.”, concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2023/02/23/campana-espionaje-empresas-organismos-gubernamentales-colombia-asyncrat/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/episode/7369TdwSZRTmZRC7PikhXd