El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.

Países a los que afectó la campaña

Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.

Correos de phishing que utiliza la campaña

La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.

Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.

Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.

Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:

  • DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
  • TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
  • PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
  • JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
  • FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
  • VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
  • Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
  • PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Etapas de la campaña

En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:  

  1. Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección. 
  2. Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.  

Capacidades de Remcos

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:

  • Realizar capturas de pantalla
  • Registrar las pulsaciones del teclado por el usuario (Keylogging)
  • Grabar audio
  • Manipular archivos
  • Ejecutar remotamente comandos en una máquina
  • Ejecutar remotamente scripts en una máquina

Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.

Cómo estar protegido

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.

Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.