Inicio /CAMPAÑA DE MALWARE DIRIGIDA A ECUADOR DISTRIBUYE EL TROYANO NJRAT Y UTILIZA CORREOS FALSOS DE DEMANDAS JUDICIALES

CAMPAÑA DE MALWARE DIRIGIDA A ECUADOR DISTRIBUYE EL TROYANO NJRAT Y UTILIZA CORREOS FALSOS DE DEMANDAS JUDICIALES

Enviado por csirtutpl el Lun, 08/07/2023 - 00:39

El equipo de investigación de ESET Latinoamérica analizó una campaña dirigida principalmente a Ecuador en la que atacantes intentaron infectar a las víctimas con el troyano de acceso remoto njRAT.

Fue detectada durante el primer trimestre de 2023 y apuntó principalmente a empresas privadas, entidades gubernamentales, entidades del sector de salud, y muy posiblemente usuarios hogareños, con el objetivo de espiar y robar información de las víctimas.

Los vectores de ataque inicial fueron correos electrónicos falsos que, en su mayoría, suplantaron la identidad de la fiscalía general de Ecuador haciendo referencia a una supuesta demanda interpuesta al usuario, y, en menor medida, utilizaron como señuelo supuestas infracciones de tránsito.

Estos correos contenían un archivo adjunto maliciosos comprimidos detectados por las soluciones de ESET como VBS/Agent.QOD

Análisis de la campaña

Demandas falsas como inicio del ataque

El método de ingeniería social usado fue mediante correos falsos que simulaban ser organismos públicos (en este caso, la fiscalía general de Ecuador) y contenían información de una supuesta demanda interpuesta al usuario.

Por la manera en que están redactados y anotaciones en español en el código, suponemos que los cibercriminales detrás de esta campaña podrían ser personas que residen en la región. 

A través de los sistemas de telemetría interna de ESET, se lograron obtener distintos nombres utilizados en los asuntos de estos correos utilizados en diferentes campañas de envío. A continuación, se listan algunos ejemplos encontrados:

  • FISCALIA GENERAL DEL ESTADO (ECUADOR)
  • Foto Multa Nacional A.N.T
  • (ANT) FOTO MULTA NACIONAL

Los archivos adjuntos en estos correos electrónicos contenían un archivo malicioso comprimido; para el cual también se encontró evidencia del uso de diferentes nombres:

  • DOCUMENTO. (3).vbs
  • ANT-FotoMultaNacional.vbs
  • DOCUMENTO. (5).vbs

Acerca de njRAT

njRAT es un troyano de acceso remoto (RAT, por sus siglas en inglés) desarrollado con el framework Microsoft .NET. 

Con base en el análisis realizado sobre las muestras obtenidas, hemos visto que los cibercriminales utilizaron la versión 0.7NC de este código malicioso, la cual permite realizar algunas de las siguientes acciones en el equipo comprometido:

  • Registrar las teclas pulsadas en la máquina de una víctima (Keylogging).
  • Realizar capturas de pantalla de la máquina de una víctima.
  • Manipular los registros de Windows.

El siguiente diagrama muestra el proceso de infección de este código malicioso, partiendo desde la recepción de un correo electrónico que contiene adjuntado un archivo malicioso comprimido, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: njRAT.

Consejos para protegerse

Dado que esta amenaza se distribuye por medio de correos electrónicos que contienen archivos comprimidos maliciosos adjuntos, enumeramos distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:

  • Revisar el correo electrónico, prestar atención a la dirección de donde proviene y el nombre de la persona que nos lo envía. Revisar el contenido, por ejemplo si hay faltas de ortografía.
  • No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió. 
  • No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa. 
  • Revisar las extensiones de los archivos, por ejemplo, si un archivo termina con ".pdf.exe" la última extensión es la que determina el tipo de archivo, en este caso sería ".exe" un ejecutable. 
  • Si un email tiene un enlace y se duda de la página a la que se lo envía, no abrirlo. 
  • Ser prudentes al descargar y extraer archivos comprimidos .zip/.bz2 de fuentes no confiables, ya que pueden ser utilizados para ocultar códigos maliciosos y evadir ciertos mecanismos de seguridad. 
  • Tener los equipos y aplicaciones actualizados a la versión más reciente. 
  • Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.
Tags: 
#UTPLCuidaTuInformación #CiberSeguridadUTPL #UTPL #Loja #Ecuador

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones