Latinoamérica

All posts tagged Latinoamérica

Malware.jpg

Campaña de Spam se dirige a las entidades colombianas con un ‘Proyecto RAT’ personalizado

Una campaña reciente que se dirige principalmente a instituciones financieras y organizaciones gubernamentales en Colombia. Se han utilizado herramientas de acceso remoto (RAT), junto a otros procedimientos e indicadores de compromiso (IoC). Esto, de acuerdo con las investigaciones de Jaromir Horejsi y Daniel Lunghi (Investigadores de ciber amenazas).

El grupo a cargo de la campaña utiliza YOPmail, un servicio de dirección de correo electrónico desechable, para su servidor de comando y control (C&C). La carga útil, escrita en Visual Basic 6, es una versión personalizada de una herramienta de acceso remoto llamada “Proyecto RAT”. Así es como proceden estos atacantes:

Primero llega un correo electrónico enviado al objetivo. Los investigadores notaron que el atacante usaba servidores de correo abiertos o comprometidos en Sudamérica para facilitar las campañas. Asimismo, el atacante se conectó a los servidores comprometidos desde direcciones IP que estaban vinculadas a nombres de dominio dinámicos utilizados como C & C por las cargas útiles entregadas. Lo que probablemente revela que el atacante usa la misma infraestructura para enviar correos electrónicos y controlar a las víctimas.

El remitente del correo electrónico por lo general es falso, y los asuntos del correo incitaban a abrir un archivo RTF. Estos eran algunos de los temas de los correos.

  • “Hemos iniciado un proceso en su contra por violencia laboral”.
  • “Se hará efectivo un embargo a su (s) cuenta (s) Bancarias”.
  • “Almacenes Éxito te obsequia una tarjeta regalo virtual por valor de $ 500.000”.

Lo que contenía el archivo RTF era el malware a través de un enlace para presuntamente dar solución o respuesta al enunciado del correo. Curiosamente, el enlace al malware utiliza el acortador de URL cort.as, que pertenece al diario El País.

Una vez que se hace clic en el enlace, se redirige al usuario a un intercambio de archivos, y el archivo que se recibe es un documento que contiene macros. Los documentos que analizaron los expertos estaban en formato MHTML con macros. El código de macro es un descargador simple, pero por otro lado también había archivos de Office en formato OLE. El diseño de los documentos ya ha sido analizado y acá tenemos unos ejemplos.

Todos los documentos, que aparecieron entre 2017 y 2019, solicitaron a los usuarios habilitar las macros. Las macros descargarán y ejecutarán un RAT. Todas estas RAT son malware estándar que puede comprarse por menos de US $ 100 o descargarse de varios repositorios de malware.

Los investigadores concluyeron que el malware utilizado estaba construido con Visual Basic, una versión antigua y limitada de Xpert RAT, y pudo ser una modificación personalizada de Xpert RAT o un malware con código fuente basado en Xpert RAT.

En ese sentido, se creó una versión personalizada de Proyecto RAT para afectar a Latinoamérica, empezando por Colombia. Colombia es, con mucho, el país más apuntado, con otros países sudamericanos agregados a la lista. Esto es consistente con el hecho de que este actor utiliza el idioma español en todos los documentos de phishing que se observaron en los correos. Pero los investigadores también marcaron en rojo otros territorios objetivos a los que apuntan los documentos de phishing. Estos incluyen EEUU, México, Venezuela, Ecuador, Perú, Bolivia, Argentina, Brasil, España, Australia y Turquía.

leer más
Diarleth G.Campaña de Spam se dirige a las entidades colombianas con un ‘Proyecto RAT’ personalizado
ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador