Investigadores de ESET han analizado una campaña de espionaje dirigida a empresas que aún está activa. La campaña en curso, que lleva el nombre de Bandidos, está dirigida específicamente a las infraestructuras de TI en los países de habla hispana.
El 90 por ciento de las detecciones son en Venezuela. Solo en 2021, los investigadores de ESET detectaron más de 200 variantes del malware en Venezuela. Sin embargo, los expertos no pudieron identificar un sector económico específico al que se dirige esta campaña.
Instala una extensión maliciosa de Chrome
"La funcionalidad Chrome Inject es particularmente interesante", dice el investigador de ESET Fernando Tavella, quien estudió la campaña de Bandidos. "Después de establecer comunicación con el servidor de comando y control del atacante, el programa malicioso descarga un archivo DLL que crea una extensión de Chrome maliciosa. Esto luego intenta recuperar cualquier credencial que la víctima envíe a una URL”.
curso de un ataque
Las víctimas potenciales reciben correos electrónicos maliciosos con un archivo PDF adjunto. El archivo PDF contiene un enlace para descargar un archivo comprimido. Contiene un archivo ejecutable: el llamado cuentagotas, cuya tarea es introducir de contrabando el programa espía Bandidos en el sistema. Los atacantes usan acortadores de URL como Rebrandly o Bitly en sus archivos PDF adjuntos. Los enlaces cortos redirigen a servicios de almacenamiento en la nube como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware.
Prehistoria de Bandidos
Durante el análisis, los investigadores de ESET descubrieron que el spyware Bandidos es una versión avanzada del malware Bandook. Este es un troyano de acceso remoto (RAT) que ha estado haciendo travesuras desde 2005. En 2016 fue utilizado, entre otras cosas, para atacar a periodistas y disidentes en Europa. En 2018 y 2020, la RAT se utilizó en ataques contra instituciones educativas, profesionales médicos, gobiernos y diversas industrias, como finanzas, TI y energía. "Informes anteriores han mencionado que los desarrolladores de Bandook pueden ser desarrolladores por contrato. Esto tiene perfecto sentido dadas las diversas campañas con diferentes objetivos que se han observado a lo largo de los años. En 2021 solo hemos visto esta campaña activa de ciberdelincuencia que estamos documentando aquí. Pero esto demuestra que el malware sigue siendo una herramienta relevante para los ciberdelincuentes”, dice Matías Porolli, investigador de ESET que trabajó con Tavella en el análisis.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.