El amor es una nueva excusa que los ciberatacantes utilizan para encontrar víctimas a través de las cada vez más populares aplicaciones de citas. ESET, compañía de seguridad informática, advierte sobre aquellas señales de alerta para cuidar los datos personales y cuentas bancarias.   Ciudad de México, México – La popularidad de las apps para buscar pareja hizo que los cibercriminales encuentren diferentes maneras de sacar su propio rédito a través de fraudes y engaños. ESET, compañía líder en detección proactiva de amenazas, alerta cuáles son, cómo reconocerlos y qué se puede hacer para evitarlos.   En las estafas románticas, también reconocidas como engaños de catfishing, el ciberatacante emplea perfiles falsos para recopilar información personal de sus víctimas, ganarse su confianza y sacar algún rédito, generalmente económico.

La estafa del militar: una de las estafas más comunes involucra al ámbito militar, en el cual el estafador se vale del nombre de un soldado real o bien de la creación de un perfil falso. La historia del supuesto militar siempre es triste y trágica (es viudo, con hijos adultos, está por lograr el retiro) lo que genera una empatía automática con la víctima. Una vez creado el vínculo, evade el encuentro personal debido a una movilización a otra base, lo que da el pie perfecto para solicitar dinero para pagar un pasaje de avión, comprar medicamentos o costear con una buena conexión a Internet. Hasta cuentan con cómplices que intentan dar veracidad a la historia.   La estafa del médico en Siria o Yemen: el ámbito militar en este caso también es utilizado, pero vinculado al entorno médico, ya que el estafador afirma a sus posibles víctimas que en realidad es un médico del ejército estadounidense brindado servicio en zonas de guerra como Siria o Yemen, entre otras. Una vez conseguida la confianza, declara su amor y propone a la víctima un encuentro en un país maravilloso, para lo que solicitará dinero para el supuesto vuelo. Finalmente, lo único que viajará es el dinero a la cuenta del cibercriminal.   La estafa del viudo y la hija enferma: otro de los escenarios más reportados por personas engañadas es el del supuesto dueño de una galería de arte, que asegura haber quedado viudo y tener una hija (Anita), la cual está transitando un complejo problema de salud contraído en África que requiere una ayuda económica por parte de la víctima. Claramente que no existe ni la galería de arte, ni la hija, ni ningún otro condimento brindando por el estafador, y se trata de una nueva artimaña para obtener dinero.   La estafa del enamorado inglés: un ingeniero de Manchester, un químico de Londres o un exitoso profesional de Liverpool. Todas son las mismas caretas utilizadas por el cibercrimen para llevar adelante otro de los engaños más reportados de los últimos años. Correos electrónicos elegantes y llenos de elogios hacia la víctima, un amor que surge casi de inmediato y que promete avanzar muy rápidamente, hasta que llega la propuesta de una inversión en un negocio que teóricamente brinda ganancias sustanciales, que después requiere de dinero para trámites de la Aduana y otras documentaciones.   La estafa de las criptomonedas: el boom de las criptomonedas también llegó a las apps de citas, ya que los estafadores se valen de ellas para llevar a cabo sus engaños. Todo comienza con una idílica historia de amor, hasta que el cibercriminal asegura ser un inversor financiero muy destacado en el rubro de las criptomonedas e invita a su víctima en este negocio que parecería ser infalible. Por supuesto, lo único infalible es la estafa, que asegura una ganancia, pero no para la víctima, claro está.   La estafa de la herencia: aquí, el estafador indica a la víctima que debe contraer matrimonio a la brevedad para acceder a una herencia que asciende a un precio exorbitante. Un supuesto problema con los impuestos de la aduana es la excusa perfecta para que el ciberatacante pida dinero a la víctima para poder hacerse del oro. Obviamente, todo es falso, menos la plata que transfirió la víctima, que nunca volverá a sus manos.   La estafa de la extorsión: en este caso, tras haber logrado tener confianza con la víctima después de diversas conversaciones, el estafador propone realizar una llamada con cámara. Misteriosamente, su imagen falla de manera inesperada y mediante insistencia y elogios, sí logra que la víctima se desnude frente a cámara y/o realice algún acto íntimo. Allí es cuando se revela la verdadera faceta del estafador, que asegura tener un video, y amenaza con publicarlo en caso de que la víctima no le transfiera dinero.   Sitios de citas falsos: por supuesto que también existen diversos sitios de citas falsos, cuyo único objetivo es obtener los datos de las personas que se registran. Por ello, es común que incluyan preguntas personales, de la infancia y hasta financieras, que pueden ser útiles para obtener claves de acceso. También son comunes las oferta de promociones exclusivas para contar con una membresía premium y así acceder a la información bancaria.   Falsa verificación de Tinder: puntualmente en Tinder, es muy usual la estafa que involucra un mensaje de texto o correo electrónico que asegura que es necesario verificar la cuenta, mediante un enlace. Allí, solicitarán datos personales, y hasta detalles de la cuenta bancaria y de la tarjeta de crédito.   Sitios falsos con malware: también es habitual que tras haber entablado una conversación prolongada con un estafador, este invite a la víctima a conocer su sitio personal o algún perfil en redes sociales. Claramente, no son páginas legítimas, sino que contienen spam o malware mediante los cuales se obtiene información valiosa para perpetrar un fraude financiero o el robo de identidad. ¿Qué señales deben encender las alarmas de un posible fraude?   Existen diversas maneras de identificar que lo que podría ser una futura pareja ideal, en realidad es algún ciberatacante que está intentando llevar adelante un fraude o una estafa. Entre sus modus operandi ESET destaca las siguientes acciones:   Pedir demasiada información personal a la potencial víctima. Evitar dar datos concretos sobre su persona, o evadir las preguntas de la víctima. Proponer que la conversación siga por un chat privado, por fuera de la aplicación de citas. Eludir cualquier posibilidad de encontrarse personalmente con la víctima. Indicar que trabaja o reside en un país distinto que el de su víctima. Fomentar que la relación avance de manera acelerada y en poco tiempo, incluyendo hasta una propuesta de casamiento. Tener un perfil y nombres que no se corresponden con ninguna otra red social. Compartir experiencias o historias de vida complejas o trágicas que requieren una ayuda monetaria: desde pasajes, médicos, documentos de viaje y deudas de juego, entre otras. Pedir dinero o solicitar la apertura de cuentas bancarias para usar.   “En caso de que la víctima se niegue a acceder a alguno de estos pedidos, el cibercriminal buscará excusas cada vez más urgentes para justificar el envío del dinero. En ciertos casos hasta podrá usar el chantaje, si es que cuenta con información sensible o contenido íntimo de la víctima, amenazando con hacer públicas fotografías y/o videos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.   ¿Qué hacer para evitar caer en estos engaños?   Desde ESET recomiendan incorporar los siguientes buenos hábitos para minimizar el riesgo de ser víctimas de un engaño: Investigar sobre las personas que se conocen a través de internet (y no solo en las apps de citas). Si bien puede sonar un poco frío, realmente puede evitar una pérdida de dinero (y de tiempo). Buscar la foto de perfil y verificar si coincide con el nombre y la información del perfil, o simplemente se trata de una foto falsa. Realizar una búsqueda del nombre y otros detalles vinculados a su historia de vida, y corroborar con lo que figura con la información disponible en Internet. Prestar especial atención al comportamiento de la persona: si hace demasiadas preguntas o si evita responder las que se le hacen. Evitar compartir datos personales en redes sociales de forma pública, como no brindar información sensible o íntima a los contactos de las aplicaciones de citas, ni enviar videos o fotos comprometedoras. No transferir ni enviar dinero a alguien que no se haya conocido en persona, como tampoco abrir nuevas cuentas bancarias para un tercero. No seguir en contacto en caso de sospechar de que se trata de un potencial estafador o estafadora, y denunciar el incidente a las autoridades. Esto último evitará que otras personas también se conviertan en víctimas.   “Siguiendo estos consejos es posible mantener tu información personal y tus cuentas bancarias a salvo de cibercriminales que pretenden ser usuarios de aplicaciones de citas.”, concluye Gutierrez Amaya, de ESET Latinoamérica.

Estafas en apps de citas: a qué señales prestar atención y cómo evitar ser víctima

• Cibercriminales Engaños Fraudes Internet
• At 10/26/2023 12:29:00 a.m.
• Leave a Comment

Read More

 

ESET, compañía de seguridad informática, detectó aplicaciones falsas que distribuyen troyanos bancarios para dispositivos Android.

Ciudad de México – El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, detectó que cibercriminales están aprovechando el auge de ChatGPT para promover falsas aplicaciones que utilizan el nombre del popular chatbot para infectar con troyanos bancarios. ESET analizó las extensiones maliciosas que utilizan el nombre de ChatGTP  para robar cookies y pone en evidencia algunas de las formas de engaño que utilizan el nombre de esta herramienta desarrollada por OpenAI.

“Está claro que los cibercriminales están aprovechando la popularidad de ChatGPT para distribuir malware a través de páginas web y aplicaciones falsas. Es probable que sigan apareciendo sitios falsos y campañas distribuyendo malware y otros engaños aprovechando el auge de las herramientas basadas en inteligencia artificial. Es importante que los usuarios estén al tanto de estas campañas para tomar conciencia y ser cautos a la hora de instalar una extensión o una app que se presenta como atractiva”, menciona Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los troyanos detectados por ESET, son:

Chameleon: Ataca sistemas operativos Android. Ya ha sido identificado en otras campañas en las que se distribuyó usurpando los nombres de Google, Bitcoin, aplicaciones de criptomonedas, bancarias o incluso agencias gubernamentales. Monitoreando los sistemas de ESET, se detectó que también utilizó el nombre y la imagen de ChatGPT: en el dispositivo de la víctima se instala una aplicación que usa como ícono el logo de la app, pero al hacer clic para abrirla, el ícono desaparece y nada ocurre.

Chameleon no solo tiene la capacidad de robar credenciales, sino que también es capaz de robar contraseñas y cookies, acceder a los SMS y recolectar, por ejemplo, el código de la verificación en dos pasos (2FA), entre muchas otras cosas más.

Troyano Cerberus: Desde ESET se analizaron campañas que distribuyen este malware para Android que ha estado utilizando el nombre de ChatGPT. El investigador de ESET Lukas Stefanko explicó, en 2019, las características y la historia de su surgimiento.  Un año después de su aparición el código de este malware se filtró en foros de hacking y el malware llegó a manos de otros actores maliciosos para su uso, lo que probablemente dio lugar a la creación de variantes desarrolladas por otros.

En este caso, a través de la telemetría de ESET se encontró una aplicación maliciosa distribuyendo una variante de este malware que utiliza el nombre del chatbot como parte de su ingeniería social.

Al analizar la aplicación, lo primero que llamó la atención del equipo de ESET son los permisos excesivos que solicita, permitiéndole al cibercriminal obtener prácticamente control total del dispositivo. Este troyano es capaz de interceptar mensajes SMS, leer los contactos, acceder a la cámara, a la lista de contactos, al registro de llamadas, modificar audio, obtener una lista de aplicaciones instaladas y muchas otras cosas más. En el caso de los SMS, esta capacidad permite obtener el código de verificación en dos pasos para acceder a una cuenta online.

“Con todos estos permisos concedidos, la aplicación maliciosa es capaz de realizar varias acciones en el equipo infectado, por lo tanto, no solo es importante evitar descargar aplicaciones de repositorios no oficiales, sino también evaluar los permisos que solicita una app y si tiene sentido concederlos de acuerdo a la funcionalidad de la misma”, comenta Camilo Gutiérrez Amaya de ESET Latinoamérica.

Como recomendación principal, desde ESET aseguran que es fundamental tener instalado en los dispositivos un software antimalware de confianza y mantener actualizados los equipos y el software que se utiliza. Si se cree que se ha instalado malware en un dispositivo, se sugiere desconectarlo de Internet y buscar ayuda de un experto en seguridad informática.

 

Troyanos bancarios para Android se hacen pasar por ChatGPT

• Amenazas Cibercriminales Seguridad informática Troyanos bancarios
• At 7/22/2023 01:20:00 a.m.
• Leave a Comment

Read More

  

ESET, compañía líder en detección proactiva de amenazas, analizó una campaña que mediante correos de phishing intenta distribuir malware para robar contraseñas y realizar capturas de pantalla en los equipos infectados. México, Perú, Colombia, Ecuador y Chile están entre los países más afectados.

Ciudad de México – El equipo de investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, descubrió en marzo de 2023 una campaña de malware que apuntaba a varios países de América Latina y que se distribuía a través de correos electrónicos. El objetivo final era infectar a las víctimas con un malware que permite a los atacantes realizar distintas acciones en el equipo infectado, desde robar contraseñas hasta realizar capturas de pantalla y luego enviar esta información a los servidores de los cibercriminales.

 

La campaña comienza con el envío de correos de spearphishing que contienen un archivo comprimido adjunto que no requiere contraseña. ESET identificó un ejemplo de los correos utilizados en esta campaña donde el asunto hace referencia al envío de un paquete y suplanta la identidad de una empresa muy conocida dedicada a la entrega de mensajería y paquetería.]

“Es bastante llamativa la informalidad con la que está redactado el correo, lo cual podría despertar alguna sospecha. Por otro lado, es importante señalar que el archivo adjunto tiene doble extensión, .jpg.xxe. Esto también debería ser interpretado como otra señal de alerta, ya que si una empresa quiere enviar un archivo adjunto no habría necesidad de poner una doble extensión como se ve en este caso. El objetivo de todo esto es confundir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe).”, resalta Fernando Tavella, Malware Researcher de ESET Latinoamérica.

 

El proceso de infección comienza al descargar el archivo y descomprimirlo. La víctima encontrará un archivo ejecutable que al abrirlo comenzará un proceso de infección de varias etapas que culmina con la descarga y ejecución del troyano AgentTesla en el equipo de la víctima.

México fue el país en el que se concentró la mayor actividad de esta campaña con el 45% de las detecciones, seguido por Perú (15%), Colombia (14%), Ecuador (12%) y Chile (5%), además de otros países de la región.  Desde ESET mencionan que si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques.

 

AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes. Es utilizado por diferentes grupos cibercriminales para espiar y robar información personal de las víctimas. Según ESET, algunas de las características más importantes de AgentTesla son:

 

• Realizar capturas de pantalla y/o del portapapeles (clipboard)

• Registrar pulsaciones de teclado (Keylogging)

• Obtener las credenciales guardadas en distintos navegadores web o programas instalados en la máquina víctima. Por ejemplo, Microsoft Outlook.

• Obtener información de la máquina de la víctima. Por ejemplo, sistema operativo, CPU, nombre de usuario, etc.

• Persistir en la máquina de la víctima

 

“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla. Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.”, aclara Tavella de ESET Latinoamérica.

 

En los últimos años el equipo de ESET descubrió y analizó varias campañas apuntando a países de la región en las que grupos criminales utilizaron este tipo de malware con fines de espionaje para atacar a empresa y organismos gubernamentales de distintos países. Este fue el caso, por ejemplo, de Operación Absoluta, donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.

ESET identificó una campaña que intenta distribuir malware en América Latina

• Cibercriminales Correos electrónicos Malware en América Latina
• At 4/22/2023 01:40:00 a.m.
• Leave a Comment

Read More

 

ESET, compañía líder en detección proactiva de amenazas, analizó algunas de las formas en que los cibercriminales utilizan el nombre del ChatGPT para atraer a potenciales víctimas.

 

Ciudad de México - ChatGPT ha despertado gran interés desde su aparición por su sorprendente capacidad y por las posibles formas de uso en diferentes escenarios. Esta atracción e interés masivo, como siempre sucede, también es aprovechado por los cibercriminales que buscan sacar partido de la popularidad de esta tecnología para cometer algún tipo de fraude. ESET, compañía líder en detección proactiva de amenazas, repasa algunos ejemplos de cómo distintos cibercriminales y estafadores están utilizando como señuelo a ChatGPT para engañar a las personas.

 

Según ESET, algunas de las formas en que los cibercriminales utilizan el nombre de ChatGPT para atraer a potenciales víctimas, son:

 

·         Falsas extensiones de ChatGPT en Chrome: Recientemente se descubrió una extensión maliciosa para Google Chrome, llamada “Quick access to Chat GPT”, que ofrecía acceso directo al Chat GPT. Si bien la extensión proporciona la funcionalidad que promete, el objetivo principal es robar cuentas de Facebook y de otros servicios. Luego, los delincuentes utilizaban estas cuentas robadas para crear bots y desplegar a través de la red social más anuncios maliciosos que distribuyen malware y robar credenciales.

 

La extensión, que ya fue eliminada del repositorio oficial de Chrome, estuvo disponible durante seis días y registró un promedio de 2000 instalaciones diarias. Este complemento recopilaba información del navegador, como cookies de sesiones abiertas de cualquier servicios activo (como Facebook) y enviaba esta información a un servidor del atacante. Investigadores de Guardio revelaron que se trata de una campaña que comenzó en febrero y que incluye otras extensiones maliciosas para Chrome que también utilizan el nombre de ChatGPT. “No sería extraño que exista otra extensión maliciosa en actividad o que pueda aparecer una nueva en un futuro cercano. Así que mucho cuidado con las extensiones que instalamos en nuestro navegador”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

 

• Sitios y perfiles falsos de ChatGPT en redes sociales: Se detectó la presencia de páginas en redes sociales como Facebook que promueven contenido sobre esta herramienta, pero que también se utilizan para distribuir enlaces y anuncios que llevan a sitios que se hacen pasar por ChatGPT. Algunas de estas páginas buscan engañar a las víctimas para que descarguen archivos maliciosos en sus equipos. Algunos de estos sitios descargaban malware que roba credenciales del equipo infectado.

 

“Vale la pena mencionar que debido a la demanda que existe por ChatGPT y que muchas personas no pueden acceder al servicio por el volumen de personas interesadas en utilizar la herramienta, ahora OpenAI ofrece la posibilidad de pagar para acceder a la versión Plus. Esto también es utilizado por los atacantes para intentar robar los datos financieros de la tarjeta mediante falsos formularios”, agrega Gutierrez Amaya, de ESET Latinoamérica.

 

• Falsas apps para móviles de ChatGPT: Por el momento ChatGPT no está disponible a través de una app para teléfonos. Sin embargo, los cibercriminales están aprovechando este escenario para distribuir falsas apps para Android que descargan spyware o adware en los smartphones. Investigadores de Cyble detectaron más de 50 apps maliciosas que utilizaban el logo de ChatGPT que tenían como objetivo final realizar algún tipo de actividad maliciosa.

 

Otro caso reportado por Gizmodo reveló que en App Store se distribuyó una app de dudosa reputación que utiliza el nombre de ChatGPT de forma gratuita, pero que al cabo de tres días cobra cargos de suscripción.

 

“Si bien estas son algunas de las formas que -hasta ahora- han explorado los atacantes, seguramente aparezcan nuevos casos o incluso otras formas de aprovechar el interés y la curiosidad para cometer algún tipo de delito. Por lo tanto, las personas deberán estar atentas y desconfiar de los resultados de búsqueda, de los anuncios que muestran los resultados de Google o en las redes sociales. También se debe prestar atención a los enlaces que se comparten en grupos donde se discute sobre este tema o de cualquier app que prometa instalar este chatbot en el teléfono o como software en la computadora”, concluye el Jefe del Laboratorio de Investigación de ESET Latinoamérica.

 

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2023/03/17/estafas-enganos-alrededor-chatgpt/

 

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/episode/7369TdwSZRTmZRC7PikhXd

Estafas y engaños alrededor de ChatGPT

• ChatGPT Cibercriminales Tecnología
• At 3/22/2023 09:38:00 p.m.
• Leave a Comment

Read More

 

ESET, compañía líder en detección proactiva de amenazas, identificó una campaña que distribuía un troyano de acceso remoto para tomar el control de los equipos comprometidos.

Ciudad de México - El Laboratorio de Investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, analizó una campaña de espionaje apuntada a blancos de alto perfil de Colombia que se registró durante diciembre de 2022. Los cibercriminales detrás de esta campaña, denominada “Operación Absoluta”, lanzaron sus ataques a entidades gubernamentales y compañías privadas de industrias como la construcción, entre otras.

 

“El objetivo de la campaña era descargar en los sistemas de las víctimas un Troyano de Acceso Remoto conocido como AsyncRAT, que permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, acceder a archivos y carpetas, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso descargar en el equipo malware adicional.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

 

Una cualidad que caracteriza a “Operación Absoluta” y por la cual se ha decidido llamar así a esta campaña es la técnica de ofuscamiento que emplea, ya que utiliza diversas operaciones matemáticas, como el cálculo de valor absoluto. Es posible que esta característica haya sido utilizada para evadir alguna solución de seguridad o hacer más difícil la tarea de análisis.

 

Imagen 1 - Diagrama de infección

 

En la Imagen 1 se puede observar cómo es el proceso de infección de esta campaña, partiendo desde la recepción de un correo electrónico que tiene adjunto un documento Word, el cual contiene un enlace que descarga un archivo desde Google Drive, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: AsyncRAT. Esta campaña posee diferentes etapas que incluyen correos de Spearphishing, el uso de droppers y de un troyano.

 

La primera etapa tiene la finalidad de descargar y ejecutar un archivo Batch (archivo de procesamiento por lotes). Esto lo hace por medio del envío de un enlace que se encuentra en el documento adjunto dentro del correo que reciben las víctimas. Este enlace dirige a las víctimas a la descarga de un archivo comprimido, que está alojado en Google Drive y protegido con contraseña. La contraseña para abrirlo se encuentra dentro del mismo correo. Para captar la atención de las víctimas, los cibercriminales utilizan diferentes engaños relacionados con supuestas demandas o procesos judiciales que los usuarios poseen.

 

Imagen 2 - Ejemplo de phishing utilizado en la campaña

 

Imagen 3 – Ejemplo de un archivo de documento de Office utilizado en esta campaña

 

Como se observa en la Imagen 2 y 3, los cibercriminales utilizan como excusa correos relacionados con demandas o procesos judiciales para provocar preocupación y que las potenciales víctimas los abran. La información en el correo utiliza datos de profesionales reales a los que se suplanta su identidad. De hecho, algunas firmas de abogados han alertado sobre estos correos.

 

En la segunda etapa de la campaña se procede a ejecutar dos ejecutables maliciosos, cada uno con un objetivo distinto. Uno de ellos es utilizado para evadir mecanismos de seguridad, mientras que el otro para ejecutar el Payload final y generar persistencia.

 

La tercera etapa ya es cuando se utiliza AsyncRAT. Esta es una herramienta de acceso remoto que, si bien es  de código abierto y legítima, lamentablemente como sucede con muchas otras herramientas es aprovechada para fines delictivos, como tener acceso y control total de los equipos de las víctimas. Algunas de las características y capacidades de AsyncRAT son:

 

• Control remoto completo del sistema infectado.

• Capacidad para ejecutar comandos y acceder a archivos y carpetas en el sistema.

• Capacidad para capturar y transmitir imágenes de la pantalla.

• Capacidad para registrar las pulsaciones del teclado.

• Capacidad para descargar y ejecutar archivos adicionales.

 

Una vez que el Laboratorio de ESET identificó la actividad de “Operación Absoluta”, le reportó a Google la URL utilizada por los cibercriminales para la campaña. En consecuencia, este enlace fue dado de baja, lo que impidió que se siguiera propagando la amenaza mediante el enlace reportado.

 

“Es importante mencionar que Operación Absoluta es un nuevo ejemplo de cómo los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando malware disponible para su compra o descarga gratuita en foros y grupos de cibercrimen.”, señala Gutiérrez Amaya.

 

En 2021 ESET analizó una campaña denominada Bandidos en la cual los actores maliciosos utilizaron el RAT Bandook, disponible en mercados de la dark web, para llevar adelante ataques apuntando a redes corporativas de empresas de distintas industrias en Venezuela. Ese mismo año también se publicaron detalles sobre Operación Spalax, una campaña dirigida a instituciones gubernamentales y compañías de Colombia utilizando los troyanos de acceso remoto Remcos, njRAT y AsyncRAT.

 

En 2022 se analizaron otras dos campañas de espionaje que utilizaron códigos maliciosos conocidos y disponibles públicamente. Una de ellas fue Operación Discordia, la cual apuntó a empresas de distintas industrias, organizaciones sin fines de lucro y organismos gubernamentales de Colombia utilizando njRAT; y la otra fue Operación Pulpo Rojo, una campaña enfocada en Ecuador que apuntó a empresas y organismos gubernamentales utilizando el popular Remcos.

 

“Si bien Operación Absoluta presenta similitudes con todas estas campañas en cuanto a la modalidad general de envío de malspam y el uso de commodity malware, como es AsyncRAT, no se puede atribuir este ataque al mismo grupo de amenazas que desplegó alguna de las anteriores campañas. Como se puede ver, más allá de la sofisticación que puedan tener algunas campañas que llevan adelante grupos de APT a nivel global, la creciente cantidad de campañas con fines de espionaje dirigidas a blancos específicos en América Latina muestra que este modus operandi parece resultar efectivo a los grupos que las operan y que las empresas y organismos de gobierno de la región deben estar atentas.”, concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Operación Absoluta: ESET descubre una campaña de ciber espionaje enfocada a Colombia

• Ciber espionaje Cibercriminales
• At 3/15/2023 12:46:00 a.m.
• Leave a Comment

Read More