El pasado 15 de octubre el equipo de ESET Research publicó a través de su cuenta de Twitter que han estado monitoreando una campaña activa que apunta a organismos gubernamentales y de educación en Colombia para distribuir njRAT y AsyncRAT, dos conocidos troyanos de acceso remoto (RAT, por sus siglas en inglés) que ofrecen múltiples capacidades sobre el equipo comprometido. Los actores detrás de esta campaña de múltiples etapas están utilizando la popular biblioteca digital de Internet, archive.org, para alojar las DLL maliciosas.
La campaña comienza por un correo electrónico que contiene un archivo adjunto malicioso que al ser ejecutado descarga y ejecuta en el equipo de la víctima las DLL maliciosas alojadas en el repositorio archive.org.
Lectura recomendada: Métodos para detectar si un documento de Office posee código malicioso
Según datos de la telemetría de archive.org, se registraron cientos de descargas de dos de los archivos maliciosos alojados en una cuenta que ha estado siendo utilizada desde el 29 de septiembre para cargar las DLL maliciosas. Desde ESET reportamos a Web Archive sobre el uso abusivo que estaban realizando los cibercriminales del sitio.
#ESETresearch discovers a malicious campaign targeting governmental and education entities in Colombia using multiple stages to drop AsyncRAT or njRAT Keylogger on their victims. 1/4 pic.twitter.com/lV6Y1Frj3w
— ESET research (@ESETresearch) October 15, 2021
Vale la pena mencionar que en enero de este año el equipo de ESET Research reveló detalles acerca de una campaña llamada Operación Spalax dirigida a instituciones gubernamentales y compañías de Colombia, que también distribuía los populares troyanos de acceso remoto njRAT y AsyncRAT, además de Remcos.
njRAT: un RAT popular entre cibercriminales
Tal como explicamos en este artículo donde analizamos a njRAT y sus características, se trata de un troyano de acceso remoto que data de 2012 y del cual existen distintas variantes . Es ampliamente utilizado por cibercriminales desde que el código fuente se publicó en foros clandestinos aproximadamente en 2013 y ofrece múltiples capacidades a los actores de amenazas a la hora de realizar acciones maliciosas de forma remota en el equipo comprometido, como realizar capturas de pantalla, de audio y de la cámara, registrar pulsaciones de teclado (keylogging), robar credenciales, descargar y ejecutar archivs, manipular el registro de Windows, entre otras.
En el caso de AsyncRAT, se trata de una herramienta de código abierto legítima diseñada para monitorear y controlar a distancia una computadora a través de una conexión cifrada que también suele ser utilizada para fines maliciosos. Ya hemos visto varios casos de estos en la industria de herramientas legítimas utilizadas por atacantes, como es el caso de Remcos, por nombrar otra. AsyncRAT ofrece múltiples funcionalidades similares a las de njRAT que permite a los actores de amenazas espiar en la máquina de la víctima y realizar acciones como keylogging, entre muchas otras más.
Lecturas recomendadas:
- Bandidos: campaña de espionaje activa en América Latina que utiliza el malware Bandook
- Agent Tesla: principales características de este malware
- Trickbot: características de uno de los malware más activos y peligrosos
- Lokibot: características de este malware que roba todo tipo de credenciales