El Laboratorio de Investigaciones de ESET Latinoamérica, analizó una campaña de espionaje apuntada a blancos de alto perfil de Colombia que se registró durante diciembre de 2022. Los cibercriminales detrás de esta campaña, denominada “Operación Absoluta”, lanzaron sus ataques a entidades gubernamentales y compañías privadas de industrias como la construcción, entre otras.
Una cualidad que caracteriza a “Operación Absoluta” y por la cual se ha decidido llamar así a esta campaña es la técnica de ofuscamiento que emplea, ya que utiliza diversas operaciones matemáticas, como el cálculo de valor absoluto. Es posible que esta característica haya sido utilizada para evadir alguna solución de seguridad o hacer más difícil la tarea de análisis.
El proceso de infección de esta campaña, parte desde la recepción de un correo electrónico que tiene adjunto un documento Word, el cual contiene un enlace que descarga un archivo desde Google Drive, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: AsyncRAT. Esta campaña posee diferentes etapas que incluyen correos de Spearphishing, el uso de droppers y de un troyano.
La primera etapa tiene la finalidad de descargar y ejecutar un archivo Batch (archivo de procesamiento por lotes). Esto lo hace por medio del envío de un enlace que se encuentra en el documento adjunto dentro del correo que reciben las víctimas. Este enlace dirige a las víctimas a la descarga de un archivo comprimido, que está alojado en Google Drive y protegido con contraseña. La contraseña para abrirlo se encuentra dentro del mismo correo. Para captar la atención de las víctimas, los cibercriminales utilizan diferentes engaños relacionados con supuestas demandas o procesos judiciales que los usuarios poseen.
Los cibercriminales utilizan como excusa correos relacionados con demandas o procesos judiciales para provocar preocupación y que las potenciales víctimas los abran. La información en el correo utiliza datos de profesionales reales a los que se suplanta su identidad. De hecho, algunas firmas de abogados han alertado sobre estos correos.
En la segunda etapa de la campaña se procede a ejecutar dos ejecutables maliciosos, cada uno con un objetivo distinto. Uno de ellos es utilizado para evadir mecanismos de seguridad, mientras que el otro para ejecutar el Payload final y generar persistencia.
La tercera etapa ya es cuando se utiliza AsyncRAT. Esta es una herramienta de acceso remoto que, si bien es de código abierto y legítima, lamentablemente como sucede con muchas otras herramientas es aprovechada para fines delictivos, como tener acceso y control total de los equipos de las víctimas. Algunas de las características y capacidades de AsyncRAT son:
- Control remoto completo del sistema infectado.
- Capacidad para ejecutar comandos y acceder a archivos y carpetas en el sistema.
- Capacidad para capturar y transmitir imágenes de la pantalla.
- Capacidad para registrar las pulsaciones del teclado.
- Capacidad para descargar y ejecutar archivos adicionales.
Una vez que el Laboratorio de ESET identificó la actividad de “Operación Absoluta”, le reportó a Google la URL utilizada por los cibercriminales para la campaña. En consecuencia, este enlace fue dado de baja, lo que impidió que se siguiera propagando la amenaza mediante el enlace reportado.
“Es importante mencionar que Operación Absoluta es un nuevo ejemplo de cómo los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando malware disponible para su compra o descarga gratuita en foros y grupos de cibercrimen.”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.