Bandidos, una campaña de espionaje dirigida a empresas de países de habla hispana

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer

ESET Research ha descubierto una campaña aún activa que utiliza versiones más avanzadas del antiguo crimeware Bandook para espiar a sus víctimas. La campaña tiene como objetivo las redes corporativas en los países de habla hispana, y, debido al malware utilizado y a la región a la que va dirigido, ha sido bautizada con el nombre “Bandidos”.

En 2021, ESET ha visto más de 200 detecciones de los droppers de este malware en Venezuela; sin embargo, no se ha podido identificar el sector específico al que se dirige esta campaña maliciosa. Los principales intereses de los atacantes son las redes corporativas de empresas de fabricación, construcción, salud, servicios de software e incluso del comercio minorista. Dadas las capacidades del malware y el tipo de información que se exfiltra, parece que el objetivo principal de Bandidos es el espionaje.

Las posibles víctimas reciben correos electrónicos maliciosos con un archivo PDF adjunto que, a su vez, contiene un enlace para descargar junto a un archivo comprimido y la contraseña para extraerlo. Dentro de este archivo comprimido hay un dropper que inyecta Bandook en un proceso de Internet Explorer. Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en sus archivos adjuntos en PDF. Las URL acortadas redirigen a servicios de almacenamiento en la nube como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware. El objetivo principal del dropper es descifrar, descodificar y ejecutar el payload, además de asegurar que el malware permanece en el sistema comprometido.

"La funcionalidad de ChromeInject resulta especialmente interesante en esta campaña", comenta Fernando Tavella, investigador de ESET involucrado en el análisis de Bandidos. "Cuando se establece la comunicación con el servidor de mando y control del atacante, el payload descarga un archivo DLL que tiene un método exportado diseñado para crear una extensión maliciosa de Chrome, que intenta recuperar cualquier credencial que la víctima envíe a una URL, credenciales que se guardan en el almacenamiento local de Chrome".

Bandook es un antiguo troyano de acceso remoto que se en 2016 se utilizó para atacar a periodistas y disidentes en Europa, y luego, en 2018, para atacar nuevos objetivos como instituciones educativas, abogados y profesionales de la medicina. Por último, en 2020 fue observado en ataques contra múltiples sectores, como el gubernamental, el financiero, el informático y el energético.

"Algunos informes previos mencionan que los desarrolladores de Bandook podrían ser desarrolladores de alquiler, lo que tiene sentido teniendo en cuenta las diversas campañas con objetivos diferentes detectadas a lo largo de los años. Sin embargo, en 2021 hemos visto solo una campaña activa: la dirigida a países de habla hispana que documentamos aquí, lo que demuestra que sigue siendo una herramienta relevante para los ciberdelincuentes", opina Matías Porolli, investigador de ESET.