Operación Spalax: ataques de malware dirigidos en Colombia

  • Seguridad

  • Hace 4 días

  • febrero 22, 2021

  • 2 minutos, 30 segundos de lectura

Convierte a Computerworld Colombia en tu fuente de noticias tecnológicas.

Durante el 2020, ESET identificó una serie de ataques dirigidos exclusivamente a entidades colombianas a la que se denominó Operación Spalax y que se centran, tanto en instituciones gubernamentales como en empresas privadas, siendo los sectores energético y metalúrgico los más apuntados. 

Los atacantes utilizan troyanos de acceso remoto, probablemente para realizar tareas de ciberespionaje. Los actores de estas amenazas muestran un uso perfecto del idioma español en los correos electrónicos que envían y solo apuntan a entidades colombianas. 

“Los ataques de malware dirigidos contra entidades colombianas se han incrementado. El panorama ha cambiado y pasó de una campaña que tenía un puñado de servidores C&C (de comando y control) y nombres de dominio, a una con infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019. Sin embargo, un aspecto que permanece igual es que los ataques aún están dirigidos y enfocados en entidades colombianas, tanto del sector público como del privado. Es de esperar que estos ataques continúen en la región, por lo que seguiremos monitoreando estas actividades “, comentó Matías Porolli, investigador de ESET que realizó la investigación sobre Spalax.

Los blancos apuntados son abordados mediante correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR con un archivo ejecutable dentro, estos archivos se alojan en servicios de alojamiento legítimos, como OneDrive o MediaFire. La potencial víctima tiene que extraer manualmente el archivo y abrirlo para que el malware se ejecute. El propósito es tener un troyano de acceso remoto ejecutándose en el computador víctima.

Los atacantes utilizan varios temas para sus correos electrónicos, pero en la mayoría de los casos no están especialmente diseñados para sus víctimas. Por el contrario, en los correos se hace referencia a temas genéricos que podrían reutilizarse para diferentes objetivos. Se identificaron correos electrónicos de phishing con estos temas:

  • Una notificación sobre una infracción de tránsito
  • Una notificación indicando que debe realizarse una prueba de COVID-19 obligatoria
  • Una notificación para asistir a una audiencia judicial
  • Una investigación abierta contra el destinatario por malversación de fondos públicos
  • Una notificación de un embargo de cuentas bancarias

Los payloads utilizados en Operación Spalax son troyanos de acceso remoto. Estos brindan varias capacidades no solo para el control remoto, sino también para espiar a sus objetivos: registro de las pulsaciones de teclado, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware, entre otras opciones.

En cuanto a las direcciones IP utilizadas por los atacantes, casi todas están en Colombia. Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas víctimas o dispositivos vulnerables para reenviar la comunicación a sus servidores reales.

Los ataques identificados por ESET coinciden con reportes previos de otros grupos que ya tenía a Colombia como objetivo. Pero al tener muchas otras características diferentes, resulta más complejo poder atribuir esta campaña a un grupo en particular, pero lo cierto es que cada día hay más víctimas que caen bajo esta modalidad, por lo cual, los analistas de la firma recomiendan no dar clic en enlaces de correos electrónicos, sino ir a la fuente de la entidad, y no entregar información que pueda ser utilizada por los ciberdelincuentes.