Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Campaña de distribución de malware a varias empresas colombianas

  • Publicado: 12/01/2021
  • Importancia: Alta

Recursos afectados

Se ha observado que solo se ha distribuido Remcos RAT, njRAT y AsyncRAT en esta operación, las cargas útiles de estos malware son comprimidos en archivos .rar y luego son alojados en servicios de alojamiento legítimos como OneDrive, Google Drive o MediaFire. Los ciberdelincuentes detrás de esta campaña crean correos casi perfectos suplantando entidades conocidas para engañar a los usuarios objetivos con el fin de que descarguen y ejecuten el RAT.

Esta operación aún no se ha atribuido a algún grupo cibercriminal, pero se tiene sospechas de que APT-C-36 está detrás de estas campañas de infección ya que muchos de las direcciones IP utilizadas en esta operación corresponden a un rango que pertenece a Powerhouse Management, un servicio de VPN, que se utilizó en una campaña anterior de APT-C-36.

Ese grupo cibercriminal, también denominado Blind Eagle, ha realizado ataques a empresas colombianas de varios sectores, principalmente industrias petroleras, logística y manufactura e instituciones de alto nivel, El Csirt Financiero ha realizado varias investigaciones de este grupo cibercriminal que afecta a únicamente compañías colombianas.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

 

Etiquetas