natali_mis - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Dan a conocer campaña de spam enfocada en Colombia y Sudamérica

De acuerdo con Trend Micro, Proyecto RAT es una campaña dirigida a entidades en Latinoamérica a través del servicio de correo electrónico YOPmail.

El fabricante de soluciones de seguridad Trend Micro anunció una campaña de spam dirigida principalmente a instituciones financieras y organizaciones gubernamentales en América del Sur, afectando particularmente a Colombia.

Los resultados de la investigación indican que la campaña parece ser el trabajo de un grupo involucrado en hackear correo electrónico comercial y que es poco probable que sea una amenaza persistente avanzada (APT).

El análisis arrojó que el grupo de atacantes utiliza YOPmail, un servicio de dirección de correo electrónico desechable para su servidor de comando y control (C&C). La carga útil, escrita en Visual Basic 6, es una versión personalizada de una herramienta de acceso remoto llamada "Proyecto RAT".

En diferentes instancias, la infección comienza con un correo electrónico enviado a un objetivo, los atacantes usan servidores de correo abiertos o comprometidos en Sudamérica para facilitar las campañas, y se conectan a los servidores comprometidos desde direcciones IP que estaban vinculadas con nombres de dominio dinámicos utilizados para comando y control por las cargas útiles entregadas. El remitente del correo electrónico suele ser falso, y varios asuntos de los correos electrónicos incitaban al receptor a abrir el archivo adjunto RTF. 

El archivo RTF adjunto contiene una línea de texto y un link. El texto se relaciona con el asunto del correo electrónico, por ejemplo "Puede ver la queja en su contra a continuación" o "Ver la queja en línea". El enlace al malware utiliza el sistema para acortar URLs cort.as, que pertenece al periódico El País. Al hacer clic en el enlace, se redirige a la víctima a un fichero dentro de un servicio de intercambio de archivos, en donde el archivo es un documento de entrega que contiene macros.

La mayoría de los documentos que se analizaron estaban en formato MHTML que contiene un código de macro, un descargador simple para la carga útil. Sin embargo, también se observaron archivos de Office en formato OLE.

Primera etapa: Herramienta de acceso remoto (RAT)

La carga útil principal suele ser “Monitor InmineNte RAT”. Para junio de 2019 se notó que se estaba utilizando Warzone RAT que es la RAT más nueva de la lista y es compatible con las funciones de registro de teclas, navegador web y robo de contraseña de Outlook, además de las funciones estándar de RAT.

Segunda etapa: Proyecto RAT

La carga útil en la segunda etapa está escrita en Visual Basic 6, la cual tiene una característica interesante y es que la dirección de URL de C&C obtenida del servicio de correo electrónico YOPmail se conecta a un buzón, lee el único mensaje de correo electrónico disponible, lo analiza y luego extrae el asunto del correo electrónico.

La URL del servidor C&C está entre los caracteres ‘¡’ (signo de exclamación al revés), un caracter utilizado en el idioma español.

La comunicación entre el cliente y el servidor se realiza a través de un TCP (Protocolo de Control de Transmisión), la cual no está encriptada y utiliza los caracteres de canalización como "|" y "¡@ # @!". El usuario, que en su perfil ofrece un Prodigy Bot, un bot IRC escrito en VB6, tiene una pregunta relacionada con el código del proyecto de Leandro Ascierto llamado "Proyecto RAT".

Después de descargar y examinar el proyecto, se destacan nombres de clase familiares, delimitadores, cadenas y demás. Sobre la base de estos detalles, se deduce que es una versión personalizada de Proyecto RAT.

Regiones y verticales afectadas

Según el comunicado de Trend Micro, Colombia es uno de los países más afectados, al igual que otros países sudamericanos agregados a la lista. En particular, notaron que los Fondos de empleados en Colombia fueron atacados, y dichas entidades apenas tienen acceso a información confidencial, pero es probable que posean una cantidad razonable de dinero.

Las campañas recientes fueron dirigidas a diferentes industrias, entre las que están las entidades gubernamentales, las instituciones de salud y farmacéuticas, seguidas por las organizaciones financieras, bancarias, de seguros, y agroindustriales, de alimentos y empaque.

El actor malicioso utiliza el idioma español en todos los documentos de phishing que se analizaron.

Trend Micro recomienda a las organizaciones adoptar las mejores prácticas sobre amenazas relacionadas con la mensajería y actualizar periódicamente los sistemas para evitar que los atacantes aprovechen cualquier brecha de seguridad. “El empleo de mecanismos de seguridad adicionales, como la habilitación de firewalls y sistemas de detección y prevención de intrusiones, ayudará a prevenir actividades sospechosas en la red que puedan conducir a la exfiltración de datos o la comunicación de C&C”, aconsejan en el comunicado del proveedor de seguridad.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close