El equipo de investigación de ESET Latinoamérica, descubrió una campaña de espionaje dirigida principalmente a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de este año. Denominada Operación Pulpo Rojo por los investigadores, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a la telemetría de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.
El malware que intentaban distribuir los cibercriminales era el troyano de acceso remoto (RAT) Remcos. Si bien es un software legítimo que fue desarrollado para monitorear y administrar remotamente otros dispositivos, desde hace unos años viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.
Los atacantes detrás de esta campaña utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord. La forma de infectar a las víctimas fue a través de diferentes correos de phishing. En la siguiente imagen se puede observar un ejemplo de uno de estos correos en el que aparentaban ser la Fiscalía General del Estado de Ecuador, pero también se detectó que han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.
Los correos incluyen un enlace que conduce a la descarga de un archivo comprimido protegido con contraseña. En el ejemplo que se ve a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo desencadena el proceso de infección, que consiste en dos etapas y termina descargando el RAT Remcos. Los investigadores identificaron diferentes nombres que fueron utilizados en esta campaña para nombrar los archivos adjuntos y así lograr engañar a las víctimas.
Este troyano conocido como Remcos le permite a los cibercriminales realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente. Algunas de estas acciones son:
• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado por el usuario (Keylogging)
• Grabar audio
• Manipular archivos
• Ejecutar remotamente comandos en una máquina
• Ejecutar remotamente scripts en una máquina
“Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que esta es la forma en que comienzan muchos ciberataques. Por esto es muy importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo. Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, pero no menos importante, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los dispositivos y aplicaciones actualizadas.”, recomienda Camilo Gutiérrez Amaya, de ESET Latinoamérica.