Oculto a simple vista, el grupo ‘Saguaro’ ataca América Latina

Kaspersky Lab anuncia el descubrimiento de una nueva campaña de ciberespionaje bautizada como ‘Saguaro’, un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware. Esta campaña ha sido dirigida desde el año 2009 a víctimas importantes, entre ellas las instituciones financieras, de salud y de investigación, así como los proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística. El campo principal de operación es América Latina, y la gran mayoría de sus víctimas está ubicada en México. Otros países afectados son Colombia, Brasil, EE.UU., Venezuela y República Dominicana, entre otros. El objetivo de los atacantes es espiar y robar información confidencial de sus víctimas.

Basándose en los hallazgos realizados durante la investigación, los expertos de Kaspersky Lab concluyeron que los atacantes de la campaña hablan español y tienen raíces en México.  El objetivo, en su mayoría, son los países de Latinoamérica y las victimas fuera de la región tienen una fuerte conexión con ella.

Toda la evidencia recopilada indica que el Grupo Saguaro comenzó en 2009 y que todavía está activo. Los ataques empiezan con un simple correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Para crear un gancho más creíble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. En un paso siguiente, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo ‘Saguaro’ utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado. Almacenar el malware en línea con nombres de archivo como ‘logo.gif» o «logo.jpg «, mientras se albergan diferentes servidores de órdenes y control en cada ataque, hace que rastrear e identificar el tráfico sospechoso en la red sea una tarea difícil, ya que todas las comunicaciones se realizan mediante peticiones regulares de aportes HTTP. Además, los servidores web utilizados para distribuir los diferentes componentes tienden a ser servidores legítimos preparados por los atacantes o servidores web especialmente instalados por el grupo ‘Saguaro’.

Por el momento, no hay indicios de ataques que hayan aprovechado vulnerabilidades de día cero. Sin embargo, se siguen modificando documentos y dejándolos circular de acuerdo con los objetivos a los que el grupo está apuntando actualmente. La simplicidad ha sido un aspecto importante de toda la campaña y, como en otras amenazas regionales, la reutilización de código es siempre una alta prioridad cuando se trata de evitar el desarrollo innecesario y costoso de un nuevo malware. A pesar de esta simplicidad, los expertos de Kaspersky Lab identificaron más de 120,000 víctimas en todo el mundo.

Este grupo de ciberespionaje utiliza el malware, las puertas traseras y las herramientas de administración remota para robar datos de los navegadores web, clientes de correo electrónico, aplicaciones FTP, programas de mensajería instantánea, conexiones VPN, e incluso captura contraseñas de Wi-Fi almacenadas y credenciales de la nube. Además, uno de los módulos extrae direcciones de contactos de las máquinas de las víctimas. Los expertos en seguridad de Kaspersky Lab han descubierto también que el malware busca juegos en línea, conexiones RDP, mineros Bitcoin y detecta si las máquinas de las víctimas se conectan a dispositivos Apple o Samsung por USB.

Cada nueva muestra de malware del grupo Saguaro puesta en circulación tiene una baja tasa de detección por las soluciones antivirus.

Los productos de Kaspersky Lab detectan el malware de Saguaro como:

Trojan-Downloader.MSWord.Agent

HEUR:Trojan-Downloader.Script.Generic

Trojan-Downloader.VBS.Agent

Trojan.Win32.Yakes

Trojan-Downloader.Win32.Agent

Trojan-Ransom.Win32.Shade

Trojan-Ransom.Win32.Foreign

Trojan-Ransom.NSIS.Onion

Trojan.Win32.Droma

Trojan-PSW.Win32.Tepfer

Email-Worm.MSIL.Agent

HEUR:Trojan.Win32.Generic

Trojan-Proxy.Win32.Lethic

Trojan.Win32.Bublik

POST TAGS:
FOLLOW US ON:
Las mejores recomend
Samsung presenta sus

juanmesia@gmail.com

Comunicador, periodista dedicado al periodismo tecnológico, nomofóbico total. De niño desarmaba mis juguetes para saber cómo funcionaban... Sigo jugando a lo mismo... para saber más googlea: Juan Martín Mesía Castro

Rate This Article:
NO COMMENTS

Sorry, the comment form is closed at this time.