Suplantan a la Dian para desplegar operación de espionaje y robo de información dirigido a entidades públicas
Descubren y denuncian compleja y sofisticada operación que busca robar información y realizar actividades de espionaje en entidades públicas del sector salud, financiero, policial, inmigración y a una entidad encargada de las negociaciones de paz del gobierno.
La investigación fue realizada por el equipo de seguridad de Blackberry e incluye una estrategia de engaño donde se suplanta a la Dian.
Atacantes ejecutan una compleja operación de envío de correos a ciertas entidades de gobierno con el ánimo de infectar computadores.
La investigación concluyó que computador afectado “ puede recibir y ejecutar comandos, exfiltrar, información y realizar cualquier otra acción deseada por el actor de la amenaza”, explican.
Modo de ataque
El ataque inicia con un correo donde se suplanta la Dian. El mensaje no es de fácil detección por los filtros de spam porque se envía como copia de carbón oculta.
El e-mail enviado tiene un link que parece ser de la Dian pero no lo es porque se enmascara con una técnica especial que hace que la víctima crea que es original.
Una vez la persona recibe el correo y da clic inicia una operación técnica para instalar software malicioso que le dará control del equipo al atacante.
Los investigadores descubrieron que una de las entidades atacadas es la Cámara de Comercio de Bogotá y específicamente el correo correspondencia@ccb.org.co.
Los mensajes infectados se estarían enviado de los correos gudelomorenoalfredo79[at]gmail[.]com y cobrofactura09291[at]gmail[.]com.
Si la persona atacada hace clic en el enlace falso visitará un sitio web que tiene en su dominio la palabra Dian. Lo cual genera tranquilidad en la víctima. Alli se mostrará un sitio falso que tiene logos de la Dian y se pedirá que se descargue un PDF falso con clave.
Si se la da click al botón inicia la descarga del software malicioso que en realidad no es un archivo PDF sino un archivo con la extensión uue. Si se logra instalar iniciará una compleja operación técnica que le dará control del equipo a los ciberatacantes.
No se conoce cuál es el real impacto de esta operación y cuántos dispositivos pudieran ser afectados por esta situación. A pesar de que la investigación lleva varios días publicadas tampoco se conoce de una advertencia pública que alerte a funcionarios del Estado.
“Esta campaña sigue operando con fines de robo de información y espionaje” concluyen los investigadores.
Quién está detrás
Los investigadores creen que la operación se lleva a cabo por un grupo llamado APT-C-36 también conocido como Blind Eagle.
Varios grupos de investigación internacionales han detectado operaciones de estos delincuentes desde el 2019 y son los mismos que atacan a clientes del sistema financiero y que tienen otra operación activa en Colombia.
Pingback: Ataque masivo intenta instalar malware en computadores de ciudadanos que tienen algún tipo de relación con la Dian – MuchoHacker.LOL