El equipo de investigación de ESET Latinoamérica descubrió una campaña de espionaje dirigida a organizaciones de alto perfil en seis países, incluyendo Ecuador.
Operación Pulpo Rojo fue el nombre de la campaña de espionaje detectada por la firma de ciberseguridad ESET en cinco países de América Latina y Estados Unidos.
Según ESET, la actividad maliciosa se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias. La firma no divulgó los nombres de las compañías infectadas por el ataque.
El malware, que se distribuyó entre junio y julio de 2022, era un troyano de acceso remoto (RAT) Remcos.
"Si bien es un software legítimo, que fue desarrollado para monitorear y administrar remotamente otros dispositivos, desde hace unos años se utiliza también por cibercriminales", agregó ESET.
Los 'hackers' usan el troyano en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctimas.
¿En qué consistió el ataque?
Los atacantes, según el reporte de ESET, usaron servicios gratuitos como Google Drive para alojar sus códigos maliciosos.
Y la forma de infectar los equipos de las víctimas fue a través de correos de phishing.
Uno de estos correos aparentaba ser un mensaje de la Fiscalía General del Estado, referente a supuestos procesos judiciales o demandas.
Por lo general, los correos electrónicos incluyeron un enlace y se engañaba al usuario para que lo descargue.
Cuando la víctima abría este supuesto archivo se desencadenaba el proceso de infección, que consistía en dos etapas y terminaba descargando el malware RAT Remcos.
A través de este malware, los 'hackers' podían hacer capturas de pantalla de forma remota, grabar audios y manipular archivos del equipo de la víctima.
"Para evitar estos ataques, lo primero es aprender a reconocer posibles correos de phishing", dice Camilo Gutiérrez Amaya, de ESET Latinoamérica.
Los mensajes de phishing por lo general enganchan al usuario con promociones millonarias, ofertas de trabajo o de inversiones.
Por ello, Gutiérrez señala que se debe evitar descargar o ejecutar archivos adjuntos de remitentes dudosos o desconocidos.
Lo último