Una nueva amenaza cibernética se ha detectado en la región. El equipo de investigación de ESET dio a conocer la ejecución de una campaña de espionaje activa que apunta a redes corporativas en diversos países de América Latina.
Según el informe, en este ataque se utiliza el malware conocido como Bandook, un antiguo troyano de acceso remoto (RAT). Su principal objetivo sería Venezuela, pero también ha afectado a Perú, Colombia, México, Ecuador, Chile, Panamá, Bahamas, Uruguay y otros territorios.
Si bien no se ha identificado un sector en particular, los datos de telemetría de ESET muestran que algunas de las redes comprometidas corresponden a empresas manufactureras, mientras que otras son de áreas como la construcción, atención médica, servicios de software y minoristas.
“Bandook es un RAT activo desde 2005. Su participación en diferentes campañas de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta relevante para los cibercriminales”, señaló Fernando Tavella, uno de los especialistas de ESET a cargo de la investigación.
“Si tenemos en cuenta las modificaciones realizadas al malware a lo largo de los años, nos muestra el interés de los ciberdelincuentes por seguir utilizando este malware en campañas maliciosas, haciéndolo más sofisticado y difícil de detectar”, agregó.
En 2018, EFF publicó un informe que describe el uso de este software malicioso en ataques que apuntaban a periodistas y disidentes en Europa. En 2020, Check Point compartió un reporte que detalló que el virus se utilizó contra varios mercados en distintos países.
De acuerdo con la investigación de ESET, el ataque comienza con el envío de correos electrónicos que incluyen como archivo adjunto un PDF malicioso. Este documento contiene un enlace para descargar una carpeta comprimida y la contraseña para extraerlo.
A su vez, el archivo contiene un ejecutable: un dropper que inyecta el malware Bandook en un proceso de Internet Explorer. Su objetivo principal es decodificar, descifrar y ejecutar el payload, así como asegurarse de que el virus persista en el sistema comprometido.
Los ciberdelincuentes también utilizan acortadores de URL en estos documentos, los cuales redirigen a servicios de almacenamiento en la nube, como Google Cloud Storage, SpiderOak o pCloud, desde los cuales se descarga el troyano.
Según los investigadores, estas son las acciones que es capaz de realizar el atacante en la máquina de la víctima: