Operación Spalax: ataques de malware dirigidos

Durante el 2020, ESET, compañía especializada en detección proactiva de amenazas, identificó una serie de ataques dirigidos exclusivamente a entidades colombianas a la que se denominó Operación Spalax.

Estos ataques, que por el momento están en curso, se centran tanto en instituciones gubernamentales como en empresas privadas, siendo los sectores energético y metalúrgico los más apuntados. Los atacantes utilizan troyanos de acceso remoto, probablemente para realizar tareas de ciberespionaje. Los actores de estas amenazas muestran un uso perfecto del idioma español en los correos electrónicos que envían y solo apuntan a entidades colombianas.

Los blancos apuntados son abordados mediante correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR con un archivo ejecutable dentro, estos archivos se alojan en servicios de alojamiento legítimos, como OneDrive o MediaFire. La potencial víctima tiene que extraer manualmente el archivo y abrirlo para que el malware se ejecute. El propósito es tener un troyano de acceso remoto ejecutándose en la computadora víctima.

Los atacantes utilizan varios temas para sus correos electrónicos, pero en la mayoría de los casos no están especialmente diseñados para sus víctimas. Por el contrario, en los correos se hace referencia a temas genéricos que podrían reutilizarse para diferentes objetivos. Se identificaron correos electrónicos de phishing con estos temas:

El correo electrónico que se muestra en la Imagen 2, pretende ser una notificación de una infracción de tránsito. Se adjunta un archivo PDF que promete una foto de la infracción, así como información sobre la hora y el lugar del incidente. Se ha falsificado al remitente para que parezca que el correo electrónico proviene de SIMIT (sistema para pagar las infracciones de tránsito). El archivo PDF solo contiene un enlace externo, previamente acortado, que una vez abierta descarga el archivo RAR.

Los payloads utilizados en Operación Spalax son troyanos de acceso remoto. Estos brindan varias capacidades no solo para el control remoto, sino también para espiar a sus objetivos: registro de las pulsaciones de teclado, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware, entre otras opciones.

En cuanto a las direcciones IP utilizadas por los atacantes, casi todas están en Colombia. Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas víctimas o dispositivos vulnerables para reenviar la comunicación a sus servidores reales.

Los ataques identificados por ESET coinciden con reportes previos de otros grupos que ya tenía a Colombia como objetivo. Pero al tener muchas otras características diferentes, resulta más complejo poder atribuir esta campaña.

Mat​ías Porolli, investigador de ESET que realizó la investigación sobre Spalax, comenta: ‘Los ataques de malware dirigidos contra entidades colombianas se han incrementado desde las campañas descritas el año pasado. El panorama ha cambiado y pasó de una campaña que tenía un puñado de servidores C&C (de comando y control) y nombres de dominio, a una con infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019. Sin embargo, un aspecto que permanece igual es que los ataques aún están dirigidos y enfocados en entidades colombianas, tanto del sector público como del privado. Es de esperar que estos ataques continúen en la región, por lo que seguiremos monitoreando estas actividades’.

Salir de la versión móvil