La campaña maliciosa dirigida a Colombia apunta a organismos gubernamentales y de educación del país para distribuir njRAT y AsyncRAT. Se trata de dos conocidos troyanos de acceso remoto (RAT, por sus siglas en inglés) que ofrecen múltiples capacidades sobre el equipo comprometido. Los actores detrás de esta campaña de múltiples etapas están utilizando la popular biblioteca digital de Internet, archive.org, para alojar las DLL maliciosas.
La campaña maliciosa dirigida a Colombia comienza por un correo electrónico que contiene un archivo adjunto malicioso. Al ser ejecutado descarga y ejecuta en el equipo de la víctima las DLL maliciosas alojadas en el repositorio archive.org.
Según datos de la telemetría de archive.org, se registraron cientos de descargas de dos de los archivos maliciosos alojados en una cuenta que ha estado siendo utilizada desde el 29 de septiembre para cargar las DLL maliciosas. Desde ESET reportan a Web Archive sobre el uso abusivo que estaban realizando los cibercriminales del sitio.
Vale la pena mencionar que en enero de este año el equipo de ESET Research reveló detalles acerca de una campaña llamada Operación Spalax dirigida a instituciones gubernamentales y compañías de Colombia. Esta también distribuía los populares troyanos de acceso remoto njRAT y AsyncRAT, además de Remcos.
njRAT: un RAT popular entre cibercriminales
njRAT es un troyano de acceso remoto que data de 2012 y del cual existen distintas variantes . Es ampliamente utilizado por cibercriminales desde que el código fuente se publicó en foros clandestinos aproximadamente en 2013. Este ofrece múltiples capacidades a los actores de amenazas a la hora de realizar acciones maliciosas de forma remota en el equipo comprometido. Hablamos de realizar capturas de pantalla, de audio y de la cámara, registrar pulsaciones de teclado (keylogging), robar credenciales, descargar y ejecutar archivs, manipular el registro de Windows, entre otras.
En el caso de AsyncRAT, se trata de una herramienta de código abierto legítima diseñada para monitorear y controlar a distancia una computadora a través de una conexión cifrada. También suele ser utilizada para fines maliciosos. Ya hemos visto varios casos de estos en la industria de herramientas legítimas utilizadas por atacantes, como es el caso de Remcos, por nombrar otra. AsyncRAT ofrece múltiples funcionalidades similares a las de njRAT que permite a los actores de amenazas espiar en la máquina de la víctima y realizar acciones como keylogging, entre muchas otras más.
Origen: WeLiveSecurity
