“Saguaro” ataca América Latina

  • Seguridad

  • Hace 4 años

  • septiembre 7, 2016

  • 2 minutos de lectura

Convierte a Computerworld Colombia en tu fuente de noticias tecnológicas.

Kaspersky Lab anuncia el descubrimiento de una nueva campaña de ciberespionaje bautizada como “Saguaro”, un grupo cibercriminal regional que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware.

Esta campaña ha sido dirigida desde el año 2009 a víctimas como instituciones financieras, de salud y de investigación, así como los proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística.

El campo principal de operación es América Latina, y la gran mayoría de sus víctimas están ubicadas en México, Colombia, Brasil, EE.UU., Venezuela y República Dominicana, entre otros.

Basándose en los hallazgos realizados durante la investigación, los expertos de Kaspersky Lab concluyeron que los atacantes de la campaña hablan español y tienen raíces en México. El objetivo es espiar y robar información confidencial de sus víctimas.

“Si bien Saguaro se puede considerar un “cibercrimen tradicional”, la concentración geográfica de sus víctimas y las simples técnicas que se utilizan para obtener el acceso a varias instituciones de alto nivel lo hacen una amenaza inusual y apremiante en el panorama latinoamericano. El patrón utilizado en cada uno de los dominios es prácticamente el mismo, pues la singular huella digital que deja contribuyó a revelar la magnitud de esta operación que aún sigue activa”, dijo Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab.

Te puede interesar:  El 60% de los usuarios en Colombia no protegen sus teléfonos

Los ataques empiezan con un simple correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Para crear un gancho más creíble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. En un paso siguiente, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo “Saguaro” utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado.

Almacenar el malware en línea con nombres de archivo como ‘logo.gif” o “logo.jpg “, mientras se albergan diferentes servidores de órdenes y control en cada ataque, hace que rastrear e identificar el tráfico sospechoso en la red sea una tarea difícil, ya que todas las comunicaciones se realizan mediante peticiones regulares de aportes HTTP.

Te puede interesar:  Consejos para protegerlas

Además, los servidores web utilizados para distribuir los diferentes componentes tienden a ser servidores legítimos preparados por los atacantes o servidores web especialmente instalados por el grupo “Saguaro”.

Por el momento, no hay indicios de ataques que hayan aprovechado vulnerabilidades de día cero. Sin embargo, se siguen modificando documentos y dejándolos circular de acuerdo con los objetivos a los que el grupo está apuntando actualmente. La simplicidad ha sido un aspecto importante de toda la campaña y, como en otras amenazas regionales, la reutilización de código es siempre una alta prioridad cuando se trata de evitar el desarrollo innecesario y costoso de un nuevo malware. A pesar de esta simplicidad, los expertos de Kaspersky Lab identificaron más de 120,000 víctimas en todo el mundo.