A finales de junio y principios de agosto se desarrolló la denominada Operación Pulpo Rojo, una campaña de malware que registró actividad en varios países de América Latina, pero con marcada repercusión en Ecuador y apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias del país.

El malware que intentaba distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos, según afirma la empresa de ciberseguridad ESET Latinoamérica. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctimas.

Ecuador está entre los cinco países de Latinoamérica en cuyas empresas se registran más detecciones informáticas maliciosas

La forma de infectar a las víctimas fue a través de correos de phishing. Por ejemplo, hubo correos que aparentaban ser de la Fiscalía General del Estado de Ecuador (FGE), supuestos procesos judiciales, demandas o incluso transferencias bancarias. Los correos de la FGE aseguraban que el usuario tenía una demanda judicial “pendiente” y se le pedía descargar el archivo infectado.

Publicidad

Estos correos incluyen un enlace que conduce a la descarga de un archivo comprimido que está protegido con contraseña. Si la víctima abre este archivo, que aparenta ser de formato Word, desencadena el proceso de infección, el cual consiste en dos etapas que terminan descargando en el equipo de la víctima el RAT Remcos.

En una primera etapa, el archivo malicioso busca ejecutar un segundo código malicioso que descarga un archivo malicioso alojado en Discord y que va a modificar la configuración de Windows Defender para evadir su detección. Además, descarga un archivo comprimido, que también está alojado en Discord y que contiene un ejecutable malicioso desarrollado en .NET, el cual se encarga de lograr persistencia y de ejecutar Remcos.

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes, por ejemplo:

Publicidad

  • Realizar capturas de pantalla
  • Registrar las pulsaciones del teclado por el usuario (keylogging)
  • Grabar audio
  • Manipular archivos
  • Ejecutar remotamente comandos en una máquina
  • Ejecutar remotamente scripts en una máquina

Una cuenta robada de Instagram se comercializa hasta en $15 en el mercado negro de Ecuador; un perfil de Fortnite en más de $40

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña pueden ser:

  • DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
  • TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
  • PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
  • JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
  • FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
  • VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
  • PROCESO PENAL COMUNICACION DE JUICIO DEMANDA INTERPUESTA.rar
  • PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, señala ESET. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo. (I)