Operación Spalax: ESET identificó ataques de malware dirigidos en Colombia

Investigadores de ESET, compañía de seguridad Informática, revelan detalles de ataques dirigidos a instituciones gubernamentales y compañías privadas de Colombia

Durante el 2020 ESET identificó una serie de ataques dirigidos exclusivamente a entidades colombianas a la que se denominó Operación Spalax. Estos ataques, que por el momento están en curso, se centran tanto en instituciones gubernamentales como en empresas privadas, siendo los sectores energético y metalúrgico los más apuntados. Los atacantes utilizan troyanos de acceso remoto, probablemente para realizar tareas de ciberespionaje. Los actores de estas amenazas muestran un uso perfecto del idioma español en los correos electrónicos que envían y solo apuntan a entidades colombianas.

Los blancos apuntados son abordados mediante correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR con un archivo ejecutable dentro, estos archivos se alojan en servicios de alojamiento legítimos, como OneDrive o MediaFire. La potencial víctima tiene que extraer manualmente el archivo y abrirlo para que el malware se ejecute. El propósito es tener un troyano de acceso remoto ejecutándose en la computadora víctima.

Imagen 1. Descripción general del ataque

Los atacantes utilizan varios temas para sus correos electrónicos, pero en la mayoría de los casos no están especialmente diseñados para sus víctimas. Por el contrario, en los correos se hace referencia a temas genéricos que podrían reutilizarse para diferentes objetivos. Se identificaron correos electrónicos de phishing con estos temas:

• Una notificación sobre una infracción de tránsito

• Una notificación indicando que debe realizarse una prueba de COVID-19 obligatoria

• Una notificación para asistir a una audiencia judicial

• Una investigación abierta contra el destinatario por malversación de fondos públicos

• Una notificación de un embargo de cuentas bancarias

El correo electrónico que se muestra en la Imagen 2, pretende ser una notificación de una infracción de tránsito. Se adjunta un archivo PDF que promete una foto de la infracción, así como información sobre la hora y el lugar del incidente. Se ha falsificado al remitente para que parezca que el correo electrónico proviene de SIMIT (sistema para pagar las infracciones de tránsito). El archivo PDF solo contiene un enlace externo, previamente acortado, que una vez abierta descarga el archivo RAR.

Imagen 2. Ejemplo de un correo electrónico de phishing

Imagen 3. PDF adjunto al correo electrónico de phishing

Los payloads utilizados en Operación Spalax son troyanos de acceso remoto. Estos brindan varias capacidades no solo para el control remoto, sino también para espiar a sus objetivos: registro de las pulsaciones de teclado, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware, entre otras opciones.

En cuanto a las direcciones IP utilizadas por los atacantes, casi todas están en Colombia. Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas víctimas o dispositivos vulnerables para reenviar la comunicación a sus servidores reales.

Los ataques identificados por ESET coinciden con reportes previos de otros grupos que ya tenía a Colombia como objetivo. Pero al tener muchas otras características diferentes, resulta más complejo poder atribuir esta campaña.

Los ataques de malware dirigidos contra entidades colombianas se han incrementado desde las campañas descritas el año pasado. El panorama ha cambiado y pasó de una campaña que tenía un puñado de servidores C&C (de comando y control) y nombres de dominio, a una con infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019. Sin embargo, un aspecto que permanece igual es que los ataques aún están dirigidos y enfocados en entidades colombianas, tanto del sector público como del privado. Es de esperar que estos ataques continúen en la región, por lo que seguiremos monitoreando estas actividades “, comenta Matías Porolli, investigador de ESET que realizó la investigación sobre Spalax.