“A pesar de la simplicidad de las herramientas utilizadas en esta campaña, son muy eficaces, dado a los resultados. Parece ser que los cibercriminales de América Latina están adoptando las prácticas de sus colegas en otras regiones. Anticipamos que el nivel tecnológico de los cibercriminales locales aumente considerablemente, por lo que, probablemente, nuevas campañas de ataques dirigidos pueden llegar a ser muy similares, desde el punto de vista técnico, a aquellas consideradas como las más sofisticadas del mundo. El mejor consejo es pensar en la seguridad de una manera global y dejar de pensar que los países latinoamericanos están libres de este tipo de amenazas “, dijo Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab.
La campaña Machete parece haber comenzado en el 2010 y actualizada con la infraestructura actual en el 2012. Los ciberdelincuentes utilizan técnicas de ingeniería social para distribuir el malware. En algunos casos, los atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros phishing dirigido combinado con infecciones vía la web, especialmente por medio de la creación de blogs falsos previamente preparados. Por el momento no hay indicios del uso de exploits de vulnerabilidades de día cero. Todos los artefactos técnicos encontrados en esta campaña (como herramientas de ciber-espionaje y el código del lado del cliente) tienen una baja sofisticación técnica en comparación con otras campañas dirigidas a nivel mundial. A pesar de esta simplicidad, expertos de Kaspersky Lab ya han encontraron a 778 víctimas alrededor del mundo.
Con base en la evidencia descubierta durante la investigación de Kaspersky Lab, los expertos concluyeron que los atacantes de la campaña parecen hablar español, y tener raíces en algún lugar de América Latina. Además, la mayoría de sus blancos, en su mayoría, estaban en países de Latinoamérica. A veces el interés establecido estaba geográficamente fuera de la región pero aún estaba conectado con latinoamericana. Por ejemplo, en Rusia el blanco parecía ser una embajada de uno de los países de América Latina.
La herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si está insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el micrófono del equipo, realizar capturas de pantalla, obtener datos de geolocalización, realizar fotos con la cámara web en las máquinas infectadas.
La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python copilado en archivos ejecutables de Windows – esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de la codificación. Las herramientas no muestran signos de soporte multi-plataforma ya que el código es fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que dan un indicio a que los atacantes han preparado la infraestructura para víctimas que utilizan OSX y Unix. Además de los componentes de Windows, señales de un componente móvil para Android ha sido descubierto también.
La mejor protección contra campaña de ciberespionaje tales como Machete es aprender como el spear-phishing funciona y no caer en sus trampas, así como contar con una solución de seguridad funcional y actualizada. Los productos de Kaspersky Lab identifican y protegen contra este ataque dirigido.
