Campaña de malware activa apunta a entidades gubernamentales y de educación en Colombia

Investigadores de ESET alertan sobre una campaña maliciosa dirigida a Colombia que busca distribuir los troyanos de acceso remoto njRAT y AsyncRAT en los sistemas de las víctimas.

Investigadores de ESET alertan sobre una campaña maliciosa dirigida a Colombia que busca distribuir los troyanos de acceso remoto njRAT y AsyncRAT en los sistemas de las víctimas.

El pasado 15 de octubre el equipo de ESET Research publicó a través de su cuenta de Twitter que han estado monitoreando una campaña activa que apunta a organismos gubernamentales y de educación en Colombia para distribuir njRAT y AsyncRAT, dos conocidos troyanos de acceso remoto (RAT, por sus siglas en inglés) que ofrecen múltiples capacidades sobre el equipo comprometido. Los actores detrás de esta campaña de múltiples etapas están utilizando la popular biblioteca digital de Internet, archive.org, para alojar las DLL maliciosas.

La campaña comienza por un correo electrónico que contiene un archivo adjunto malicioso que al ser ejecutado descarga y ejecuta en el equipo de la víctima las DLL maliciosas alojadas en el repositorio archive.org.

Según datos de la telemetría de archive.org, se registraron cientos de descargas de dos de los archivos maliciosos alojados en una cuenta que ha estado siendo utilizada desde el 29 de septiembre para cargar las DLL maliciosas. Desde ESET reportamos a Web Archive sobre el uso abusivo que estaban realizando los cibercriminales del sitio.

Vale la pena mencionar que en enero de este año el equipo de ESET Research reveló detalles acerca de una campaña llamada Operación Spalax dirigida a instituciones gubernamentales y compañías de Colombia, que también distribuía los populares troyanos de acceso remoto njRAT y AsyncRAT, además de Remcos.

njRAT: un RAT popular entre cibercriminales

Tal como explicamos en este artículo donde analizamos a njRAT y sus características, se trata de un troyano de acceso remoto que data de 2012 y del cual existen distintas variantes . Es ampliamente utilizado por cibercriminales desde que el código fuente se publicó en foros clandestinos aproximadamente en 2013 y ofrece múltiples capacidades a los actores de amenazas a la hora de realizar acciones maliciosas de forma remota en el equipo comprometido, como realizar capturas de pantalla, de audio y de la cámara, registrar pulsaciones de teclado (keylogging), robar credenciales, descargar y ejecutar archivs, manipular el registro de Windows, entre otras.

En el caso de AsyncRAT, se trata de una herramienta de código abierto legítima diseñada para monitorear y controlar a distancia una computadora a través de una conexión cifrada que también suele ser utilizada para fines maliciosos. Ya hemos visto varios casos de estos en la industria de herramientas legítimas utilizadas por atacantes, como es el caso de Remcos, por nombrar otra. AsyncRAT ofrece múltiples funcionalidades similares a las de njRAT que permite a los actores de amenazas espiar en la máquina de la víctima y realizar acciones como keylogging, entre muchas otras más.

 

Newsletter

Discusión