Latinoamérica (LATAM) continúa siendo objeto de ataques y campañas “motivadas financieramente”, muchas de las cuales involucran -directa o indirectamente- una de las herramientas favoritas utilizadas por los atacantes: Troyanos de Acceso Remoto (RAT).

Recientemente, el equipo de investigación de Zscaler (ThreatLabz Research) descubrió un actor de amenazas [1] dirigido a los usuarios de “FinTech”de la región.

JanelaRAT está construido para infectar dispositivos de la plataforma Microsoft Windows e involucra varias tácticas, técnicas y procedimientos (TTPs), como la carga lateral de DLL, la infraestructura C2 dinámica y un ataque de varias etapas. Se trata de una variante “muy modificada” de BX-RAT [2], que cuenta con capacidades para realizar diferentes acciones, recolectar metadatos del sistema, adquirir detalles del perfil del host, tomar capturas de pantalla, seguimiento de los movimientos del ratón, etc.

Este malware apunta principalmente a datos financieros y de criptomonedas de bancos e instituciones financieras, y todo indica que el desarrollador detrás del mismo es de habla portuguesa (uso intensivo del portugués en las cadenas de malware, metadatos, cadenas descifradas, etc.).

Por otra parte, también posee un arsenal de “capacidades nuevas y nefastas”, por ejemplo, presenta un mecanismo de sensibilidad de títulos de Windows que permite que el malware capture datos de títulos de ventanas y los envíe a los atacantes, y utiliza un sistema de configuración de socket dinámico.

La infraestructura C2 utilizada por los atacantes de amenazas abusa en gran medida de los servicios DNS dinámicos. Cada dominio está configurado en la infraestructura para estar activo solo en un determinado día del mes.

En cuanto a maniobras evasivas, abusa de las técnicas de carga lateral de DLL de fuentes legítimas (como VMWare y Microsoft) para evadir la detección de puntos finales.

Los investigadores señalaron que “el uso de Troyanos de Acceso Remoto (RAT) básicos originales o modificados es común entre los actores de amenazas que operan en la región de LATAM”, y citaron como ejemplo a Blind Eagle [3].

Cabe destacar, que en el marco de campañas con características similares, se han involucrado cuestiones que van más allá de las meras motivaciones financieras (lucro) y estuvieron orientadas al espionaje, especialmente las que se detallan en la siguiente tabla:

Nombre IDRAT TargetAño
LuxPlague (ESET) njRATArgentina2022
Operación Pulpo Rojo (ESET)RemcosEcuador2022
Operación Discordia (ESET)njRATColombia2022
Operación Absoluta (ESET)AsyncRATColombia2022
Operación Spalax (ESET)Remcos, njRAT y AsyncRAT.Colombia2021
Bandidos (ESET)BandookVenezuela2021
N/N (Bitdefender)RemcosColombia2020
Fuente: elaboración propia sobre la base de ESET y BITDEFENDER [4].
 

Según ESET [5], si bien Operación Absoluta presenta similitudes con todas estas campañas en cuanto a la modalidad general de envío de malspam y el uso de commodity malware, como es AsyncRAT, no podemos atribuir este ataque al mismo grupo de amenazas que desplegó alguna de las anteriores campañas.

“La creciente cantidad de campañas con fines de espionaje dirigidas a blancos específicos en América Latina muestra que este modus operandi parece resultar efectivo a los grupos que las operan y que las empresas y organismos de gobierno de la región deben estar atentas”, según dijo ESET.

En el caso de la operación Lux Plague [6], sostuvieron “Podemos afirmar, con un alto nivel de confianza, que este actor malicioso no es muy sofisticado y que es del mismo país que las organizaciones apuntadas”

En un contexto más general, de acuerdo con el Índice de Amenazas Globales de julio de 2023 de Check Point [7], los investigadores informaron que “Remcos» pasó al tercer lugar después de que los actores de amenazas crearan sitios web falsos el mes pasado para difundir descargadores maliciosos que llevaban el RAT. Mientras tanto, el troyano bancario móvil Anubis eliminó al recién llegado SpinOk del primer puesto en la lista de malware móvil, y Educación/Investigación fue la industria más afectada”

Por otra parte, no debe pasar desapercibido que las familias de troyanos bancarios de América Latina comparten muchas características y comportamientos, y estos vínculos en común han sido abordados en detalle por ESET [8].

Para concluir, como se ha podido observar, los RAT son una de las herramientas preferidas por los atacantes cuando se trata de realizar ataques sobre objetivos (targets) de LATAM, ofrecen la posibilidad de tomar el control sobre los sistemas, ejecutar acciones maliciosas en detrimento de las finanzas de los usuarios, y más allá de los motivos, también dejan la ventana (janela) abierta para la descarga de malware adicional (con múltiples y variados fines), y son un medio idóneo para ejecutar operaciones de espionaje.

Fuentes:

[1] https://www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech

[2] https://www.fortiguard.com/encyclopedia/virus/8245162

[3] https://attack.mitre.org/groups/G0099/

[4] https://www.bitdefender.com/blog/labs/remcos-rat-revisited-a-colombian-coronavirus-themed-campaign

[5] https://www.welivesecurity.com/la-es/2023/02/23/campana-espionaje-empresas-organismos-gubernamentales-colombia-asyncrat/

[6] https://www.welivesecurity.com/la-es/2022/01/03/actor-amenazas-distribuye-malware-apunta-usuarios-corporativos-argentina/

[7] https://blog.checkpoint.com/security/july-2023s-most-wanted-malware-remote-access-trojan-rat-remcos-climbs-to-third-place-while-mobile-malware-anubis-returns-to-top-spot/

[8] https://www.welivesecurity.com/la-es/2021/12/15/analisis-12-troyanos-bancarios-america-latina/