Ataque digital a nombre de RTVC: software espía y suplantación detectados por analistas independientes

Dos analistas de ciberseguridad independientes, que actúan bajo el anonimato, ayudaron a rastrear y detectar el ataque digital que denunció el director de Rtvc, Holman Morris, y el activista digital, Felipe Jimeno.

Se confirma que no se trata de un ataque dirigido específicamente contra los medios públicos de Colombia, sino de una variante cuya verdadera finalidad es instalar software —posiblemente espía— en los computadores de ciudadanos colombianos.

Un lector de MuchoHacker.lol fue víctima de la estrategia y nos reenvió el mensaje que efectivamente parece ser enviado por Antonella de Oro Suarez – Contratista, usando el correo [email protected].

Una búsqueda en Google permite establecer que de Oro Suarez, en algún periodo de tiempo fue funcionaria de la entidad. Incluso se puede encontrar su nombre en datasets donde aparecen datos de los funcionarios.

Gracias a que obtuvimos el correo del ataque, el primer analista, pudo determinar que el mensaje electrónico nunca se envió desde [email protected].

“Usan una técnica llamada <Email spoofing> ya que el remitente real es este: Return-Path: <[email protected]> (coincide con el dominio del remitente)”, concluyó el analista luego de realizar un análisis al header, una parte técnica del mensaje que contiene información clave sobre el envío y recepción del correo, y no siempre es visible para el usuario promedio.

Como ya lo habíamos informado anteriormente nunca se usó el correo de hmorris que pertenece al director de RTVC, lo que se hace es utilizar su credibilidad como remitente para que el ataque adquiera características creíbles y así las víctimas den clic en los archivos adjuntos y el software malicioso termine siendo instalado.

Un ataque real

El análisis de toda la estrategia permite conocer dos formas cómo actúa la instalación del software malicioso.

La primera de ellas es que se encontró un archivo .LNK escondido dentro del correo que envían los atacantes. Este es un tipo de archivo de Windows que sirve como acceso directo a un programa. Este tipo de archivo es usado frecuentemente en ataque digitales.

Para el analista de ciberseguridad consultado este archivo pudo ser una de las estrategias que usan los atacantes para intentar instalar el software.

Identificar este archivo ha sido clave para reconstruir técnicamente el ataque. Una vez la víctima abre el correo y ejecuta el archivo adjunto, se activa el archivo .LNK, que a su vez inicia el proceso de descarga del software malicioso.

El acceso directo ejecuta Powershell. La víctima no se da cuenta que se está instalando un programa porque nunca se ve nada en la pantalla. Todo ocurre oculto. Analizando el código del archivo el experto detectó que el código desactiva las protecciones de ejecución que son medidas de seguridad que tiene por defecto el sistema.

Ya sin esas medidas de seguridad inicia la descarga del malware. Lo hace desde una dirección específica que se logró detectar (45.61.147.253). Una vez se conecta el computador a esa IP inicia la descarga y se ejecuta el programa. En este momento se infecta el computador.

Desafortunadamente la IP que se ejecuta luego de toda esta serie de tareas ya está desactivada y no se pudo determinar qué tipo de programa se instala. Hasta el momento se tiene evidencia técnica de qué es un ataque sofisticado que logra pasar medidas de seguridad de Windows y que ejecuta un programa del cual no se sabe qué hace.

I am sorry

La segunda forma de ataque detectada tiene que ver con el archivo adjunto que viene en el correo.  Es un formato.svg que asemeja un archivo PDF.

El nombre del archivo que se logró analizar es 603233_Denuncia_laboral_fiscal_juzgado_civil_penal_8006320_ltsepa3d.svg y usa los logos de Rama Judicial, Consejo Superior de la Judicatura. Entidad que tiene que ver con la administración de la justicia, por ejemplo, en lo administrativo y disciplinario pero que no tiene nada que ver con el cuerpo del correo que habla de una demanda laboral.

Este mensaje está lleno de errores de ortografía, conceptuales y hasta tiene la marca del atacante en letra pequeña que escribió “I am sorry”.

Otro analista ayudó a comprender la URL adjunta al falso PDF. (Por favor no dar clic en el enlace, se comparte como parte del análisis para que más expertos puedan tener acceso. NADIE DEBE DESCARGARLO SIN CONOCIMIENTO TÉCNICO)

https://bitbucket.org/dfffrf/dfdf/downloads/Notificaci%C3%B3n_demanda_virtual_juzgado_09_de_circuito_de_Bogot%C3%A1.zip?id=70e2bf3a-5e79-4fe1-af7f-bbd53b808588

En esta url se observa que los atacantes usan la plataforma Bitbucket.org, que es un herramienta para alojar código. Los usuarios dfffrf/dfdf usan esta plataforma para alojar un archivo ZIP que se ejecutará cuando la víctima descargue el archivo e introduzca la contraseña que los mismos atacantes envían. Quien escribió “I am sorry” en el archivo .svg es identificado en Bitbucket como dfffrf/dfdf .

Al subir el archivo a Virus Total 1 de 61 motores antivirus lo detecta como un archivo usado para robo de información. Es decir, en el pasado ya se ha detectado este tipo de estrategia específicamente ligado con el robo de datos.

Con los datos hasta ahora obtenidos no se puede saber a ciencia cierta qué hace el software malicioso. Solo se sabe que fue detectado en una actividad de robo de datos.

Finalmente analistas consultados por MuchoHacker.lol advierten que este tipo de ataque tiene las características de ser un APT-C-36, también conocido como Blind Eagle, y como ya lo hemos narrado acá, estamos ante una estrategia de espionaje que podrían estar afectando a miles de computadores en Colombia. Situación que para las autoridades no existe. Ni siquiera se habla del tema a pesar de la gravedad. Esto, guardada las proporciones, es similar a Pegasus pero afecta a personas comunes y corrientes.