Campaña de malware enfocada en Ecuador
Share
El equipo de investigación de Eset Latinoamérica, descubrió una campaña de espionaje dirigida principalmente a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de este año. Denominada Operación Pulpo Rojo por los investigadores, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a la telemetría de Eset se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.
El malware que intentaban distribuir los cibercriminales era el troyano de acceso remoto (RAT) Remcos. Si bien es un software legítimo que fue desarrollado para monitorear y administrar remotamente otros dispositivos, desde hace unos años viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.
Los atacantes detrás de esta campaña utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord. La forma de infectar a las víctimas fue a través de diferentes correos de phishing. En la siguiente imagen se puede observar un ejemplo de uno de estos correos en el que aparentaban ser la Fiscalía General del Estado de Ecuador, pero también se detectó que han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.
Los correos incluyen un enlace que conduce a la descarga de un archivo comprimido protegido con contraseña. En el ejemplo que se ve a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo desencadena el proceso de infección, que consiste en dos etapas y termina descargando el RAT Remcos. Los investigadores identificaron diferentes nombres que fueron utilizados en esta campaña para nombrar los archivos adjuntos y así lograr engañar a las víctimas.
Este troyano conocido como Remcos le permite a los cibercriminales realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente. Algunas de estas acciones son:
- Realizar capturas de pantalla
- Registrar las pulsaciones del teclado por el usuario
- Grabar audio
- Manipular archivos
- Ejecutar remotamente comandos en una máquina
- Ejecutar remotamente scripts en una máquina