[13/05/2024] Los investigadores de Kaspersky han descubierto dos nuevas campañas maliciosas operadas por el notorio grupo Careto Advanced Persistent Threat (APT), marcando su primera actividad desde el 2013. Según lo señalado en el comunicado de prensa, demostrando un nivel notablemente alto de sofisticación, los actores llevaron a cabo dos complejas campañas de ciberespionaje utilizando un marco multimodal, un marco que permite la grabación de la entrada del micrófono, robando una amplia gama de archivos y datos, y obteniendo el control general sobre la máquina infectada. Las campañas se dirigieron a organizaciones de América Latina y África Central.
"Careto, un grupo Advanced Persistent Threat (APT), es conocido por sus ataques altamente sofisticados principalmente a organizaciones gubernamentales, entidades diplomáticas, empresas e instituciones de investigación. La actividad de este actor de amenazas APT ha se ha observado desde el 2007 hasta el 2013. Cabe destacar que no ha habido noticias sobre este grupo de amenazas desde entonces”, sostuvo Georgy Kucherin, investigador de seguridad de GReAT (Equipo Global de Investigación y Análisis de Kaspersky).
El investigador anotó que el vector inicial de infección que lograron los atacantes para comprometer el servidor de correo electrónico de la organización, que estaba ejecutando el MDaemon software de correo electrónico. "A continuación, este servidor se infectó con un puerta trasera, otorgando al atacante el control sobre la red. Para propagarse dentro de interna, el actor de amenazas aprovechó un error no identificado previamente en una solución de seguridad que permite la distribución encubierta de implantes maliciosos en Múltiples máquinas. El atacante desplegó cuatro sofisticados sistemas multimodulares Implantes diseñados con experiencia profesional para el impacto volumétrico”.
Como un sistema multimodal framework, Kucherin explicó que el malware incluye funcionalidades como una grabadora de micrófono y ladrón de archivos, con el objetivo de recolectar configuración del sistema, nombres de inicio de sesión, contraseñas, rutas de acceso directorios en la máquina local y más. "Se observó que los operadores estaban particularmente interesados en los documentos confidenciales, cookies, historial de formularios y datos de inicio de sesión para Edge, Chrome, Firefox y los navegadores Opera, así como las cookies de Threema, WeChat y Mensajeros de WhatsApp”.
Según La visibilidad de Kaspersky, las víctimas a las que se dirige el recién descubierto Careto es una organización en América Latina, previamente comprometida con Careto en el 2022, 2019 y hace más de 10 años, y una organización en África central.
Franca Cavassa, CTOPerú