Unas 40 empresas con sede en Colombia son el blanco de un ataque de phishing a gran escala.
El objetivo de la campaña es instalar el malware Remcos para utilizar a éste troyano en posteriores robos de datos.
No sólo América Latina sigue en la mira de importantes grupos de ciberatacantes. Cada día, los ataques a la región son más localizados y podrían estarse moviendo de Argentina a Colombia.
Esto en el caso de América del Sur. En el último año, Argentina es el país en la sub region preferido por los ciberatancantes, superando incluso a Brasil que posee grupos delincuenciales autóctonos.
Sin embargo, una alerta reciente de Check Point Research (CPR) señala una campaña en progreso dirigifa específicamente a empresas basadas en Colombia.
Según la unidad de investigación de amenazas de Check Point Technologies, esta campaña de phishing fue identificada hace cerca de dos meses. Este es el momento de la detección así que la misma podría ser algo mayor.
CPR señala que esta novedosa campaña de phishing a gran escala está dirigida, específicamente, a más de 40 empresas destacadas de diversas industrias de Colombia.
Manuel Rodríguez, Gerente de Ingeniería para NOLA de Check Point Software explicó que el objetivo principal de los atacantes es implantar el malware “Remcos”.
Sólo la punta de lanza
Rodríguez hizo notar que el informe de los especialistas de CPR apuntan a la place ligrosidsd del malware que se está distribuyendo en esta campaña.
Remcos ha sido califificado como un malware avanzado, a menudo comparado con un RAT versátil como la “navaja suiza”.
El mismo otorga control total a los agresores, permitiéndoles explotar la computadora comprometida para una variedad de propósitos.
El informe también explica que los troyanos de acceso remoto (RAT) como Remcos constituyen malware diseñado para permitir a un atacante controlar de forma remota una computadora infectada.
Una vez que el RAT se ejecuta en un sistema comprometido, el atacante puede enviarle comandos y recibir datos en respuesta.
Las consecuencias de una infección por Remcos suelen incluir:
- El robo de datos,
- Las posteriores infiltraciones de malware
- Y el secuestro de cuentas de usuario
Flujo de ataque
A continuación explicamos los mecanismos que, segun el informe de Check Point Research, se usaron para esta mega campaña.
1.- Correo electrónico fraudulento
Los atacantes comienzan enviando correos electrónicos falsos que parecen provenir de fuentes confiables como bancos o empresas en Colombia.
Estos correos electrónicos pueden hablar sobre asuntos urgentes, deudas impagas u ofertas interesantes.
2.- Archivo adjunto de correo electrónico
Dentro de estos correos electrónicos hay un archivo adjunto que parece inofensivo, como un archivo ZIP o RAR.
Dice que tiene documentos o facturas importantes de interés.
3.- Comandos ocultos
El archivo contiene un archivo por lotes (BAT) altamente ofuscado.
Tras la ejecución, el archivo BAT ejecuta comandos de PowerShell que también están muy ofuscados.
Esta ofuscación de múltiples capas dificulta que las soluciones de seguridad detecten y analicen la carga maliciosa.
4.- Carga de módulos .NET
Las instrucciones hacen que tu computadora cargue dos partes importantes que son como herramientas.
Estos módulos son esenciales para las etapas posteriores del ataque.
5.- Primer módulo .NET: Evasión y desenganche
El trabajo de la primera herramienta es ocultar y engañar a las defensas de su computadora. Intenta desactivar los elementos de seguridad para que no queden atrapados los elementos malos.
6.- Segundo módulo .NET: Cargando “LoadPE” y Remcos
El segundo módulo .NET carga dinámicamente otro componente llamado “LoadPE” desde los recursos del archivo.
“LoadPE” es responsable de la carga reflexiva, una técnica que permite cargar un archivo ejecutable portátil (PE) (en este caso, el malware Remcos) directamente en la memoria sin necesidad de almacenarlo en el disco.
7.- Carga reflectante con “LoadPE”
Utilizando el componente “LoadPE”, los atacantes cargan la carga útil final, el malware Remcos, directamente desde sus recursos a la memoria.
Esta técnica de carga reflexiva mejora aún más la capacidad del malware para evadir las soluciones antivirus y de seguridad de terminales tradicionales, ya que evita los mecanismos de detección estándar basados en archivos.
8.- La carga útil final: Remcos – Navaja suiza RAT
Con la carga exitosa del malware Remcos en la memoria, el ataque ya está completo. Remcos, una potente herramienta de administración remota (RAT), otorga a los atacantes control total sobre el sistema comprometido.
Sirve como una navaja suiza para los atacantes, permitiéndoles ejecutar una amplia gama de actividades maliciosas, incluido el acceso no autorizado, la filtración de datos, el registro de teclas, la vigilancia remota y más.