Kaspersky Lab anuncia el descubrimiento de una nueva campaña de ciberespionaje bautizada como ‘Saguaro’, un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware. Esta campaña ha sido dirigida desde el año 2009 a víctimas importantes, entre ellas las instituciones financieras, de salud y de investigación, así como los proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística. El campo principal de operación es América Latina, y la gran mayoría de sus víctimas está ubicada en México. Otros países afectados son Colombia, Brasil, EE.UU., Venezuela y República Dominicana, entre otros. El objetivo de los atacantes es espiar y robar información confidencial de sus víctimas.
Basándose en los hallazgos realizados durante la investigación, los expertos de Kaspersky Lab concluyeron que los atacantes de la campaña hablan español y tienen raíces en México. El objetivo, en su mayoría, son los países de Latinoamérica y las victimas fuera de la región tienen una fuerte conexión con ella.
«Si bien Saguaro se puede considerar un ‘cibercrimen tradicional», la concentración geográfica de sus víctimas y las simples técnicas que se utilizan para obtener el acceso a varias instituciones de alto nivel lo hacen una amenaza inusual y apremiante en el panorama latinoamericano. El patrón utilizado en cada uno de los dominios es prácticamente el mismo, pues la singular huella digital que deja contribuyó a revelar la magnitud de esta operación que aún sigue activa», dijo Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab.
Toda la evidencia recopilada indica que el Grupo Saguaro comenzó en 2009 y que todavía está activo. Los ataques empiezan con un simple correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Para crear un gancho más creíble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. En un paso siguiente, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo ‘Saguaro’ utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado. Almacenar el malware en línea con nombres de archivo como ‘logo.gif» o «logo.jpg «, mientras se albergan diferentes servidores de órdenes y control en cada ataque, hace que rastrear e identificar el tráfico sospechoso en la red sea una tarea difícil, ya que todas las comunicaciones se realizan mediante peticiones regulares de aportes HTTP. Además, los servidores web utilizados para distribuir los diferentes componentes tienden a ser servidores legítimos preparados por los atacantes o servidores web especialmente instalados por el grupo ‘Saguaro’.
Por el momento, no hay indicios de ataques que hayan aprovechado vulnerabilidades de día cero. Sin embargo, se siguen modificando documentos y dejándolos circular de acuerdo con los objetivos a los que el grupo está apuntando actualmente. La simplicidad ha sido un aspecto importante de toda la campaña y, como en otras amenazas regionales, la reutilización de código es siempre una alta prioridad cuando se trata de evitar el desarrollo innecesario y costoso de un nuevo malware. A pesar de esta simplicidad, los expertos de Kaspersky Lab identificaron más de 120,000 víctimas en todo el mundo.
Este grupo de ciberespionaje utiliza el malware, las puertas traseras y las herramientas de administración remota para robar datos de los navegadores web, clientes de correo electrónico, aplicaciones FTP, programas de mensajería instantánea, conexiones VPN, e incluso captura contraseñas de Wi-Fi almacenadas y credenciales de la nube. Además, uno de los módulos extrae direcciones de contactos de las máquinas de las víctimas. Los expertos en seguridad de Kaspersky Lab han descubierto también que el malware busca juegos en línea, conexiones RDP, mineros Bitcoin y detecta si las máquinas de las víctimas se conectan a dispositivos Apple o Samsung por USB.
Cada nueva muestra de malware del grupo Saguaro puesta en circulación tiene una baja tasa de detección por las soluciones antivirus.
Los productos de Kaspersky Lab detectan el malware de Saguaro como:
Trojan-Downloader.MSWord.Agent
HEUR:Trojan-Downloader.Script.Generic
Trojan-Downloader.VBS.Agent
Trojan.Win32.Yakes
Trojan-Downloader.Win32.Agent
Trojan-Ransom.Win32.Shade
Trojan-Ransom.Win32.Foreign
Trojan-Ransom.NSIS.Onion
Trojan.Win32.Droma
Trojan-PSW.Win32.Tepfer
Email-Worm.MSIL.Agent
HEUR:Trojan.Win32.Generic
Trojan-Proxy.Win32.Lethic
Trojan.Win32.Bublik
(Nota de Prensa)