ESET Research descubre la nueva campaña de espionaje Bandidos

ESET Research, el laboratorio global de inteligencia sobre amenazas de ESET, ha descubierto una nueva campaña aún activa que utiliza versiones más avanzadas del antiguo crimeware Bandook para espiar a sus víctimas. La campaña en curso tiene como objetivo las redes corporativas en los países de habla hispana, con el 90 % de las detecciones de telemetría de ESET en Venezuela. Los investigadores de ESET han encontrado nuevas funcionalidades y cambios en Bandook y, debido al malware utilizado y a la región a la que va dirigido, han decidido denominarla con el nombre “Bandidos”.

En 2021, ESET ha visto más de 200 detecciones de los droppers de este malware en Venezuela; sin embargo, no se ha podido identificar el sector específico al que se dirige esta campaña maliciosa. Según los datos de telemetría, los principales intereses de los atacantes son las redes corporativas en Venezuela: algunas en empresas de fabricación y otras en la construcción, salud, servicios de software e incluso en el comercio minorista. Dadas las capacidades del malware y el tipo de información que se exfiltra, parece que el objetivo principal de Bandidos es el espionaje.

Las posibles víctimas reciben correos electrónicos maliciosos con un archivo PDF adjunto que, a su vez, contiene un enlace para descargar junto a un archivo comprimido y la contraseña para extraerlo. Dentro de este archivo comprimido hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en sus archivos adjuntos en PDF. Las URL acortadas redirigen a servicios de almacenamiento en la nube como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware. El objetivo principal del dropper es descifrar, descodificar y ejecutar el payload, además de asegurar que el malware permanece en el sistema comprometido.

“La funcionalidad de ChromeInject resulta especialmente interesante en esta campaña”, comenta Fernando Tavella, investigador de ESET involucrado en el análisis de Bandidos. “Cuando se establece la comunicación con el servidor de mando y control del atacante, el payload descarga un archivo DLL que tiene un método exportado diseñado para crear una extensión maliciosa de Chrome. Dicha extensión intenta recuperar cualquier credencial que la víctima envíe a una URL, credenciales que se guardan en el almacenamiento local de Chrome”.

Bandook es un antiguo troyano de acceso remoto que, según las referencias, ya estaba disponible online en 2005, aunque su uso por parte de grupos organizados no habría sido documentado hasta 2016. Se cree que en dicho año se utilizó para atacar a periodistas y disidentes en Europa y luego, en 2018, para atacar nuevos objetivos como instituciones educativas, abogados y profesionales de la medicina. Por último, en 2020 fue observado en ataques contra múltiples sectores, como el gubernamental, el financiero, el informático y el energético.

“Algunos informes previos mencionan que los desarrolladores de Bandook podrían ser desarrolladores de alquiler, lo que tiene sentido teniendo en cuenta las diversas campañas con objetivos diferentes detectadas a lo largo de los años. Sin embargo, en 2021 hemos visto solo una campaña activa: la dirigida a países de habla hispana que documentamos aquí, lo que demuestra que sigue siendo una herramienta relevante para los ciberdelincuentes”, opina Matías Porolli, investigador de ESET que ha trabajado en este mismo análisis con Tavella.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .