Una campaña reciente que se dirige principalmente a instituciones financieras y organizaciones gubernamentales en Colombia. Se han utilizado herramientas de acceso remoto (RAT), junto a otros procedimientos e indicadores de compromiso (IoC). Esto, de acuerdo con las investigaciones de Jaromir Horejsi y Daniel Lunghi (Investigadores de ciber amenazas).
El grupo a cargo de la campaña utiliza YOPmail, un servicio de dirección de correo electrónico desechable, para su servidor de comando y control (C&C). La carga útil, escrita en Visual Basic 6, es una versión personalizada de una herramienta de acceso remoto llamada «Proyecto RAT». Así es como proceden estos atacantes:
Primero llega un correo electrónico enviado al objetivo. Los investigadores notaron que el atacante usaba servidores de correo abiertos o comprometidos en Sudamérica para facilitar las campañas. Asimismo, el atacante se conectó a los servidores comprometidos desde direcciones IP que estaban vinculadas a nombres de dominio dinámicos utilizados como C & C por las cargas útiles entregadas. Lo que probablemente revela que el atacante usa la misma infraestructura para enviar correos electrónicos y controlar a las víctimas.
El remitente del correo electrónico por lo general es falso, y los asuntos del correo incitaban a abrir un archivo RTF. Estos eran algunos de los temas de los correos.
- «Hemos iniciado un proceso en su contra por violencia laboral».
- «Se hará efectivo un embargo a su (s) cuenta (s) Bancarias».
- «Almacenes Éxito te obsequia una tarjeta regalo virtual por valor de $ 500.000».
Lo que contenía el archivo RTF era el malware a través de un enlace para presuntamente dar solución o respuesta al enunciado del correo. Curiosamente, el enlace al malware utiliza el acortador de URL cort.as, que pertenece al diario El País.
Una vez que se hace clic en el enlace, se redirige al usuario a un intercambio de archivos, y el archivo que se recibe es un documento que contiene macros. Los documentos que analizaron los expertos estaban en formato MHTML con macros. El código de macro es un descargador simple, pero por otro lado también había archivos de Office en formato OLE. El diseño de los documentos ya ha sido analizado y acá tenemos unos ejemplos.
Todos los documentos, que aparecieron entre 2017 y 2019, solicitaron a los usuarios habilitar las macros. Las macros descargarán y ejecutarán un RAT. Todas estas RAT son malware estándar que puede comprarse por menos de US $ 100 o descargarse de varios repositorios de malware.
Los investigadores concluyeron que el malware utilizado estaba construido con Visual Basic, una versión antigua y limitada de Xpert RAT, y pudo ser una modificación personalizada de Xpert RAT o un malware con código fuente basado en Xpert RAT.
En ese sentido, se creó una versión personalizada de Proyecto RAT para afectar a Latinoamérica, empezando por Colombia. Colombia es, con mucho, el país más apuntado, con otros países sudamericanos agregados a la lista. Esto es consistente con el hecho de que este actor utiliza el idioma español en todos los documentos de phishing que se observaron en los correos. Pero los investigadores también marcaron en rojo otros territorios objetivos a los que apuntan los documentos de phishing. Estos incluyen EEUU, México, Venezuela, Ecuador, Perú, Bolivia, Argentina, Brasil, España, Australia y Turquía.