Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET descubre la Operación Spalax

El gobierno y el sector industrial colombianos bajo ataque selectivo

[13/01/2021] En el 2020, los investigadores de ESET observaron varios ataques dirigidos exclusivamente a entidades colombianas, que en conjunto han sido denominadas Operación Spalax. Estos ataques están en curso y se centran tanto en instituciones gubernamentales como en empresas privadas, especialmente en las industrias energética y metalúrgica. Los atacantes dependen del uso de troyanos de acceso remoto, lo más probable es que realicen actividades de ciberespionaje.

Visión general del ataque.

"Los objetivos se abordan con correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos electrónicos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic. Los archivos descargados son archivos RAR regulares que tienen un archivo ejecutable en su interior. Estos archivos se alojan en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire. Los correos electrónicos de phishing pueden ser una notificación para realizar una prueba COVID-19 obligatoria, asistir a una audiencia judicial o pagar multas de tráfico, o pueden referirse al congelamiento de cuentas bancarias, comentó Matías Porolli, investigador de ESET que investigó a Spalax.

Las cargas útiles utilizadas en la Operación Spalax, añadió el investigador, son troyanos de acceso remoto. Estas brindan varias capacidades no solo para el control remoto, sino también para espiar a los objetivos: registro de teclas, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware, por nombrar algunas.

"ESET observó al menos 24 direcciones IP diferentes en uso durante la segunda mitad del 2020. Probablemente se trate de dispositivos comprometidos que actúan como proxies para sus servidores C&C. Esto, combinado con el uso de servicios DNS dinámicos, significa que su infraestructura nunca se queda quieta. Hemos visto al menos 70 nombres de dominio activos en este período de tiempo, y registran nuevos de forma regular, indicó Porolli.

Agregó que los ataques de malware dirigidos contra entidades colombianas se han ampliado desde las campañas que fueron descritas por otros investigadores el año pasado. "El panorama ha cambiado, ha pasado de una campaña con un puñado de servidores C&C y nombres de dominio a ser una campaña con una infraestructura muy grande que cambia rápidamente con cientos de nombres de dominio utilizados desde el 2019.

Porolli finalizó indicado que los ataques que ESET vio en el 2020 comparten algunos TTP con informes anteriores sobre grupos que apuntan a Colombia, pero también difieren en muchos aspectos, lo que dificulta la atribución.