Un grupo de expertos en ciberseguridad de ESET ha detallado el despliegue de una campaña de vigilancia contra las instituciones del gobierno de Colombia, además de algunas compañías de energía y metalúrgicas. Identificada como “Operación Spalax”, esta campaña habría comenzado a mediados de 2020 y fue atribuida a un grupo de hackers activo desde 2018 debido a las similitudes entre ambas campañas.
Los expertos señalan que las dos operaciones detectadas emplearon emails de phishing similares, no obstante, los archivos adjuntos empleados para entregar el malware a las víctimas y la infraestructura C&C es diferente.
Al parecer, la cadena de ataque comienza cuando las víctimas reciben el email que lleva a la descarga de archivos maliciosos, que son archivos RAR alojados en OneDrive o MediaFire. Estos archivos incluyen cargas adicionales para descifrar y ejecutar comandos remotos en el sistema afectado. Los hackers tratarán de llamar la atención de las víctimas con toda clase de contenido en el correo electrónico fraudulento, con temas como multas de tránsito, pruebas de COVID-190, ofertas en grandes almacenes o asistencia jurídica.
Los expertos también detectaron que los actores de amenazas podrían usar droppers Autolt como shellcode para descifrar la carga útil e inyectarla en un proceso en ejecución. La carga útil cuenta con capacidades para el control remoto y el espionaje del sistema objetivo, registro del teclado y capturas de pantalla, además de la extracción de documentos.
Los hackers operan una arquitectura C&C escalada mediante un servicio de DNS dinámico, lo que permite asignar dinámicamente un nombre de dominio a una dirección IP de entre un grupo de 70 nombres de dominio diferentes, dificultando su detección.
Las agencias afectadas aún no se pronuncian al respecto, aunque los expertos prevén que el gobierno colombiano vinculará este ataque a actores de amenazas patrocinados por algún gobierno extranjero. El reporte completo está disponible en las plataformas oficiales de ESET.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad