• ESET, compañía líder en detección proactiva de amenazas, identificó una campaña que intentaba distribuir un troyano de acceso remoto para obtener información sensible de los equipos comprometidos.

El laboratorio de investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, descubrió una campaña de espionaje dirigida principalmente a Colombia que tuvo una importante actividad hasta fines de marzo de este año. Los cibercriminales intentaban distribuir el malware njRAT, un popular troyano de acceso remoto y persistir en el equipo comprometido sin ser detectado el mayor tiempo posible. Este código malicioso permite a los atacantes controlar el equipo infectado de manera remota y realizar acciones como enviar y recibir archivos, registrar las pulsaciones del teclado, hacer capturas de pantalla, tomar imágenes con la cámara y registrar audio, entre muchas otras.

El método para lograr acceso inicial y comenzar la cadena de infección comenzaba con correos de phishing que simulaban ser comunicaciones oficiales del Sistema Penal Oral Acusatorio (SPOA) de Colombia. Estos correos incluían como adjuntos archivos comprimidos que estaban protegidos con una contraseña de cuatro números. Si bien la campaña involucró a otros países de América Latina en porcentajes muy pequeños, la mayor parte de las detecciones se registraron en Colombia. Las principales víctimas fueron empresas de distintas industrias, organizaciones sin fines de lucro, y entidades gubernamentales.

La campaña fue llamada “Operación Discordia” por los investigadores de ESET. Esto se debe al uso que hicieron de la plataforma Discord los atacantes para alojar y descargar malware en los equipos comprometidos. Esta plataforma comenzó siendo para gamers, pero poco a poco fue creciendo y los cibercriminales también comenzaron a adoptarla para alojar malware y realizar otro tipo de acciones maliciosas.

“Si prestamos atención a la siguiente imagen, podremos observar que muchos de los nombres empleados para las variables están en español. Y si a esto le sumamos las temáticas empleadas en los archivos comprimidos, es posible que los actores maliciosos detrás de esta campaña sean de habla hispana.”, comenta Miguel Ángel Mendoza, Investigador de Seguridad Informática de ESET Latinoamérica.

Ejemplo de los archivos que contiene uno de los archivos comprimidos que se enviaron como adjunto en los correos de phishing.

Recomendaciones para evitar ser víctima

Las principales recomendaciones para evitar ser víctimas de este tipo de campañas es tener especial cuidado con los correos electrónicos que llegan a la bandeja de entrada. Es importante prestar atención a la dirección de correo del remitente, el contenido del mensaje, si es un correo inesperado y si tiene sentido el mensaje. En caso de que existan motivos para dudar, no hacer clic en ningún enlace ni descargar los posibles archivos adjuntos. Muchas veces los atacantes ocultan el verdadero formato de un archivo cambiando el nombre para que parezca una extensión diferente. Por último, pero no por eso menos importantes, contar con una solución de seguridad confiable instalada en los dispositivos que filtre estas amenazas apenas llegan a la cuenta de correo.