ESET reveló detalles de su reciente investigación acerca de los ataques dirigidos a instituciones gubernamentales y compañías de energía y metalurgia de Colombia principalmente.
Dice la investigación, que los atacantes se apoyan en el uso de troyanos de acceso remoto probablemente para espiar a sus víctimas y cuentan con una gran infraestructura de red para comando y control.
´Durante nuestra investigación vimos aproximadamente 70 nombres de dominio diferentes utilizados para C&C en la segunda mitad de 2020. Esto equivale al menos a 24 direcciones IP. Al analizar datos de DNS pasivos para direcciones IP y nombres de dominio conocidos, descubrimos que los atacantes han utilizado al menos 160 nombres de dominio adicionales desde 2019. Esto corresponde a por lo menos 40 direcciones IP más. Han logrado operar a tal escala utilizando servicios de DNS dinámico. En cuanto a las direcciones IP, casi todas están en Colombia. La mayoría son direcciones IP relacionadas con ISP colombianos: el 60% son Telmex y el 30% EPM Telecomunicaciones (Tigo). Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas víctimas como proxies o algunos dispositivos vulnerables para reenviar la comunicación a sus servidores reales de C&C´, señaló Camilo Gutiérrez, jefe del laboratorio, ESET Latinoamérica.
Las entidades gubernamentales y las instituciones están siendo abordadas por medio de correos electrónicos que contienen archivos adjuntos maliciosos que son descargados. En la mayoría de los casos, estos correos electrónicos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware.
Estos archivos RAR descargados contienen un archivo ejecutable que se establecen en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire. Para que el malware se ejecute, las víctimas potenciales tienen que extraer manualmente el archivo y extraerlo.
Los cibercriminales están utilizando una gran variedad de empaquetadores para estos ejecutables, pero es importante tener en cuenta que su propósito principal, es siempre tener un troyano de acceso remoto ejecutándose en la computadora de la víctima.
Los ataques de malware dirigidos contra entidades colombianas se han incrementado desde las campañas descritas el año pasado y es muy probable que para 2021 los ataques sean aún mayores.