El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una campaña maliciosa que se lleva a cabo desde 2016 en cuatro países de la región europea de los Balcanes: Serbia, Croacia, Montenegro y Bosnia y Herzegovina. Las víctimas de este ataque han sido los departamentos financieros de diferentes empresas.
Los atacantes usaban como mecanismo de propagación correos electrónicos con enlaces que conducían a un archivo malicioso. “Como el contenido de los correos electrónicos, incluidos los enlaces y los PDF señuelo, están relacionados con temas de impuestos, los atacantes están apuntando aparentemente a los departamentos de contabilidad y finanzas de las empresas en los Balcanes. Por lo tanto, creemos que esta campaña tiene una motivación financiera”, comenta Zuzana Hromcová, la investigadora de ESET que realizó la investigación.
Los investigadores de ESET han descubierto dos herramientas maliciosas que son fundamentales para el éxito de esta campaña. La primera herramienta es una puerta trasera, la segunda un troyano de acceso remoto. ESET ha bautizado a estas herramientas como BalkanDoor y BalkanRAT, respectivamente. «Una víctima típica de esta campaña termina teniendo ambas herramientas instaladas en su ordenador, siendo cada una de ellas capaz de controlar completamente la máquina afectada«, explica Hromcová.
Lo llamativo de esta campaña de ataques es que usa una configuración poco común de dos herramientas para conseguir su objetivo, lo que permite a los atacantes elegir el método más adecuado para controlar los ordenadores afectados. “BalkanRAT permite a los atacantes controlar manualmente y de forma remota los sistemas comprometidos mediante una interfaz gráfica. BalkanDoor les permite controlar de forma remota los ordenadores infectados usando una línea de comandos, posiblemente de forma masiva”, añade Hromcová.
El análisis de ESET de estas herramientas maliciosas reveló una serie de características notables:
BalkanDoor, una puerta trasera simple, es capaz de desbloquear el el sistema sin conocer contraseña, lo que es muy útil para los atacantes en los casos en que un usuario conectado bloquea su ordenador. Las muestras más recientes de BalkanDoor explotan una vulnerabilidad en WinRAR ACE que permite que el malware se ejecute e instale incluso sin que el usuario ejecute ningún archivo.
BalkanRAT, por otro lado, hace un uso malicioso de un software comercial de conexión mediante escritorio remoto legítimo que puede monitorizar la actividad de la víctima y controlar manualmente el sistema.
También utiliza herramientas y scripts adicionales para ocultar su presencia a la víctima, realizando acciones como ocultar la ventana, el icono de la bandeja o sus procesos. Tanto BalkanDoor como BalkanRAT vienen firmados digitalmente. “Hemos visto varios certificados, uno de ellos incluso era válido en el momento de la redacción de esta nota y ha sido revocado tras nuestro aviso«, advierte Hromcová.
Los productos de seguridad de ESET detectan estas amenazas como Win{32,64}/BalkanRAT y Win32/BalkanDoor.