Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET Research descubre Bandidos

Una nueva campaña de espionaje en Venezuela

[08/07/2021] ESET Research ha descubierto recientemente una nueva campaña aún activa que utiliza versiones más avanzadas del antiguo crimeware Bandook para espiar a sus víctimas. Según lo comentado, la campaña en curso tiene como objetivo las redes corporativas en los países de habla hispana, con el 90% de las detecciones de telemetría de ESET en Venezuela. Los investigadores de ESET han encontrado nuevas funcionalidades y cambios en Bandook. Debido al malware utilizado y a la localidad a la que va dirigido, ESET decidió denominar esta campaña como Bandidos.

"ESET ha visto más de 200 detecciones del malware Bandook en Venezuela en el 2021; sin embargo, no se ha podido identificar una vertical específica a la que se dirige esta campaña maliciosa. Según los datos de telemetría, los principales intereses de los atacantes son las redes corporativas en Venezuela: algunas en empresas de manufactura, y otras en construcción, salud, servicios de software, e incluso en el comercio minorista. Dadas las capacidades del malware y el tipo de información que se exfiltra, parece que el objetivo principal de Bandidos es el espionaje, comentó Fernando Tavella, un investigador de ESET que investigó la campaña de Bandidos.

El investigador explicó que las posibles víctimas reciben correos electrónicos maliciosos con un archivo PDF adjunto. "El archivo PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo comprimido hay un archivo ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en sus archivos adjuntos en PDF. Las URL acortadas redirigen a servicios de almacenamiento en la nube como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware. El objetivo principal del dropper es descifrar, desencriptar y ejecutar la carga útil y asegurarse de que el malware persiste en un sistema comprometido.

Bandook es un antiguo troyano de acceso remoto. Hay referencias de que ya estaba disponible en línea en el 2005, aunque su uso por parte de grupos organizados no se documentó hasta el 2016. En el 2016, al parecer, se utilizó para atacar a periodistas y disidentes en Europa. Luego, en el 2018, se utilizó para atacar nuevos objetivos, como instituciones educativas, abogados y profesionales de la medicina. Finalmente, en el 2020, se vio en ataques contra múltiples sectores, como el gubernamental, el financiero, el informático y el energético.

"Informes anteriores han mencionado que los desarrolladores de Bandook podrían ser desarrolladores de alquiler, lo que tiene sentido dadas las diversas campañas con diferentes objetivos vistas a lo largo de los años. Sin embargo, debemos señalar que en 2021 solo hemos visto una campaña activa: la dirigida a los países de habla hispana que documentamos aquí. Esto demuestra que sigue siendo una herramienta relevante para los ciberdelincuentes", señaló Matías Porolli, investigador de ESET que ha trabajado en el análisis con Tavella.