Los ataques buscan información de rutas de navegación y posicionamiento de unidades militares, educación, seguridad policial y asuntos exteriores.
Los investigadores de la empresa de ciberseguridad ESET han descubierto una campaña de ciberespionaje en curso contra objetivos de alto rango en América Latina. La mayoría de las computadoras atacadas pertenecen al ejército venezolano. Los otros objetivos incluyen varias agencias, desde la policía y la educación hasta los asuntos exteriores. La mayoría de los ataques, hasta el 75%, han tenido lugar en Venezuela. Ecuador fue el segundo objetivo más grande: el 16% de los ataques se llevaron a cabo allí. El grupo Machete detrás de estos ataques ha robado gigabytes de documentos confidenciales cada semana. La campaña aún es muy activa y se está llevando a cabo en un momento de mayor tensión, tanto regional como internacional entre Venezuela y los Estados Unidos de América.
Leer URGENTE: Una esperanza ante el ataque de Ramsomware y sin pagar rescate!
Los investigadores de ESET han seguido la nueva versión de Machete, que se vio por primera vez hace un año. En solo tres meses, entre marzo y mayo de 2019, ESET vio más de 50 computadoras que se comunicaron con los servidores de Comando y Control de los espías cibernéticos. Los atacantes regularmente realizan cambios en el malware, su infraestructura y las campañas de spearphishing.
“Estos ciberdelincuentes usan técnicas efectivas de phishing de última generación. Debido a la larga duración de los ataques a los países latinoamericanos, han podido reunir mucha información y refinar sus tácticas a lo largo de los años. Conocen sus objetivos, saben cómo no se destacan entre las comunicaciones normales y qué documentos son los más valiosos para robar ”, dice el investigador de ESET Matias Porolli. “Los atacantes están filtrando tipos de archivos especializados utilizados por el software de sistemas de información geográfica (SIG). El grupo está principalmente interesado en archivos que describen rutas de navegación y posicionamiento a través de redes militares “.
Los hackers envían a sus víctimas correos electrónicos muy convincentes que contienen documentos e información confidencial auténtica previamente robada como señuelo. La víctima abre el correo, interactúa con algún enlace o anexo y su equipo es infectado por Machete. El ataque continúa con la descarga e instalación de los componentes de puerta trasera.
La puerta trasera consta de un componente de espionaje que se ejecuta indefinidamente que copia y encripta documentos, toma capturas de pantalla y graba pulsaciones de teclas. El componente persistente se ejecuta cada 30 minutos e instala otros componentes. Además, la comunicación con los atacantes se determina cada diez minutos para que los datos robados puedan enviarse a través del servidor de Comando y Control.
En el virus se han detectado palabras en castellano, por lo que se sospecha de ciberespías hispanos.