El equipo de investigación de ESET, compañía de seguridad informática, descubrió una campaña maliciosa activa que utiliza un malware para espiar a sus víctimas. Apunta principalmente a Venezuela pero también afecta a redes corporativas de Colombia, Perú, Ecuador, Chile, México, Panamá y Uruguay, entre otros países de habla hispana.
| julio 9, 2021
El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, detectó que se estaba llevando adelante una campaña de espionaje que apuntaba a redes corporativas en varios países de habla hispana, con el 90% de las detecciones en Venezuela. Teniendo en cuenta el malware utilizado (conocido como Bandook) y el interés en blancos de una región en particular, nombraron a la campaña con el nombre de Bandidos.
ESET registró más de 200 detecciones de este malware en Venezuela en 2021, pero no identificó un sector en particular siendo apuntado por esta campaña. Según datos de su telemetría los principales intereses de los atacantes son redes corporativas en Venezuela; algunas corresponden a empresas manufactureras, otras a sectores como la construcción, atención médica, servicios de software e incluso minoristas. Dadas las capacidades del malware y el tipo de información exfiltrada, parecería que el objetivo principal de Bandidos es el espionaje. Sus víctimas y el método para abordarlas se parecen más a los de una operación de ciberdelito que a las actividades que realizan grupos de APT.
El ataque comienza con correos electrónicos que incluyen un archivo PDF malicioso como adjunto y que son enviados a los blancos de ataque. El archivo PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer.
Pie de imagen: Descripción general de un ataque típico en la campaña Bandidos.
Los correos electrónicos que contienen estos archivos adjuntos suelen incluir mensajes breves. El número de teléfono en la parte inferior del mensaje es un número de teléfono móvil en Venezuela, pero desde ESET aseguran que es poco probable que esté relacionado de alguna manera con los atacantes.
Pie de imagen: Ejemplo de correo electrónico malicioso
Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en los archivos PDF adjuntos que utilizan. Las URL abreviadas redirigen a servicios de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware.
Ejemplos de archivos PDF malicioso
Bandook es un antiguo troyano de acceso remoto (RAT). El informe publicado por EFF, Operation Manul, describe el uso de Bandook en ataques que apuntaban a periodistas y disidentes en Europa. En 2018, Lookout publicó una investigación en la que descubrió otras campañas de espionaje, que tenían diferentes objetivos, pero usaban la misma infraestructura. Finalmente, el informe de Check Point en 2020 mostró que los atacantes comenzaron a usar ejecutables firmados para apuntar a varios mercados verticales en distintos países. Estos informes mencionan que los desarrolladores de Bandook ofrecen el malware como servicio (MaaS, por sus siglas en inglés). Durante este año ESET identificó esta campaña activa, que apunta a países de habla hispana, en la que Venezuela es el principal objetivo pero afecta también a Colombia, España, Perú, Ecuador, Chile, México, Panamá, Bahamas, Uruguay, entre otros paises.
El objetivo principal del dropper es decodificar, descifrar y ejecutar el payload y asegurarse de que el malware persista en un sistema comprometido. A continuación, se muestra una lista de lo que el atacante es capaz de hacer en la máquina de la víctima:
• Manipular el navegador Chrome
• Manipular archivos:
o Comprimir un archivo
o Dividir un archivo
o Buscar un archivo
o Cargar un archivo
• Enviar archivos al servidor C&C
• Manipular USB
• Obtener conexiones Wi-Fi
• Iniciar una shell
• DDoS
• Cerrar sesión en Skype
• Manipular la pantalla de la víctima
• Manipular la cámara web de la víctima
• Grabar sonido
• Ejecutar programas maliciosos
“Bandook es un RAT activo desde 2005. Su participación en diferentes campañas de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta relevante para los cibercriminales. Además, si tenemos en cuenta las modificaciones realizadas al malware a lo largo de los años, nos muestra el interés de los ciberdelincuentes por seguir utilizando este malware en campañas maliciosas, haciéndolo más sofisticado y difícil de detectar. Aunque existen pocas campañas documentadas en América Latina, como Machete u Operación Spalax, Venezuela es un país que, por su situación geopolítica, es probable que sea objetivo de campañas de ciberespionaje.”, agregó, Fernando Tavella, uno de los especialistas de ESET a cargo de esta investigación.