Un grupo de piratas informáticos, aparentemente con sede en Colombia, está ejecutando una campaña de phishing que suplanta correos y busca cosechar víctimas en Sudamérica. Los actores maliciosos utilizan una amplia gama de malware y filtros de geolocalización para infectar a ordenadores y evitar ser detectados.

La compañía de ciberseguridad Trend Micro ha identificado a la operación de los ciberdelincuentes como APT-C-36. Como estos utilizan una herramienta de acceso remoto (RAT), se cree que pueden monitorizar y recopilar cualquier tipo de información del ordenador. En el mundo del malware estas herramientas son troyanos que usan backdoor.

De momento se sabe que la mayoría de los objetivos están ubicados en Colombia, Ecuador y Panamá. Los ciberdelincuentes utilizan distintos señuelos para lograr que los usuarios bajen el malware. Estos envían correos electrónicos fraudulentos que se hacen pasar principalmente por la Dirección Nacional de Impuestos y Aduanas de Colombia, y la Dirección de Impuestos y Aduanas Nacionales (DIAN).

Dice 'orden de embargo', pero es un malware

malware
Crédito: Trend Micro

Los correo correos electrónicos fraudulentos hablan de una "orden de embargo de la cuenta bancaria" e invitan a abrir un archivo con información sobre la supuesta deuda (PDF o Word). Al hacer clic en un enlace incluido en el documento adjunto, el usuario es redirigido a un servidor de alojamiento de archivos y un archivo comprimido se descarga automáticamente.

Cuando el usuario abre el archivo comprimido con la clave suministrada anteriormente, se ejecuta un troyano de acceso remoto basado en BitRAT que fue descubierto por primera vez en 2020. Según los investigadores, entre los afectados se encuentran organizaciones de gobierno, finanzas, salud, telecomunicaciones y energía, petróleo y gas.

Parte de la efectividad de los atacantes de insertar su malware se debe a su gran capacidad de segmentación. Si la URL de descarga del archivo malicioso detectan un VPN o una ubicación que no es de interés este no se descarga. "APT-C-36 selecciona sus objetivos en función de la ubicación y probablemente la situación financiera del destinatario del correo electrónico", dijeron desde Trend Micro.

Los piratas informáticos renuevan sus técnicas constantemente. Para estar protegidos de sus ataques es elemental contar con todo el software actualizado, navegar por sitios seguros. Y, sobre todo, no abrir correos electrónicos de remitentes desconocidos. Un software de protección anti-malware también puede ser útil para cuidar la seguridad del ordenador.