“MACHETE” el grupo secreto de hackers que roba GBs de archivos confidenciales al ejercito venezolano

Investigadores de la empresa de ciberseguridad “ESET” descubrieron una campaña especifica de ciber espionaje, cuyo propósito es robar documentos confidenciales de las Fuerzas Armadas venezolanas.

Ellos extraen archivos de tipo especializados utilizados por el software de sistemas de información geográfica (GIS)”, dijo Matias Porolli investigador de ESET.

Los atacantes se interesan específicamente en archivos que describen rutas de navegación y posicionamiento utilizando cuadrículas militares”.

Alrededor de un 75% de las infecciones de estos virus operados por Machete, están ubicados en Venezuela, esto junto a otras víctimas repartidas por Ecuador, Colombia y Nicaragua.

La primera documentación existente fue realizada por Kaspersky en 2014, el grupo “Machete ” esta activo desde el año 2010, enfocado en varios objetivos dentro de Latinoamérica. Pero al comienzo del 2019, ESET dijo que se ha centrado principalmente en sus esfuerzos de piratería en Venezuela.

Los investigadores encontraron mas de 50 computadores infectados que se comunicaban a través de servidores command-and-control (C&C), en el periodo que abarca entre Marzo y Mayo del año 2019. Esto es para implementar cambios rutinarios de malware en su infraestructura para frustrar la detección y modificar las campañas de phishing.

El modus-operandi

El grupo de espionaje utiliza una técnica más que probada, esto es enviando correos con archivos maliciosos (phishing).

Para atraerlos a abrir los correos electrónicos, el grupo utiliza inteligentemente documentos militares clasificados previamente robados, incluidos radiogramas, el formato ampliamente utilizado por las organizaciones militares para transmitir mensajes. Además, los atacantes aprovechan su conocimiento de la jerga militar y la etiqueta para elaborar correos electrónicos de phishing convincentes.

Una vez abierto el documento señuelo, infecta el dispositivo del objetivo con un virus de backdoor. ESET dijo que el malware (codificado en Python), es una nueva versión que se vio por primera vez hace un año.

El virus incluye persistentemente un componente espía que se ejecuta indefinidamente en segundo plano, copiando y encriptando documentos, tomando capturas de pantalla y actuando como keylogger. También se comunica con el servidor de C&C cada 10 minutos para enviar los datos robados y enmascarar su verdadera intención al nombrar sus archivos como “Google” (GoogleCrash.exe y GoogleUpdate.exe).

ESET dijo que la campaña de phishing todavía está activa hasta el día de hoy, y que los piratas informáticos han extraído con éxito gigabytes de documentos confidenciales cada semana.

¿”Machete” Quienes son?

ESET a encontrado varias instancias de palabras en español en el código de malware, con los registros generados al capturar las pulsaciones de teclas y los datos escritos del portapapeles en el mismo idioma. Esto sugiere que han sido desarrollados por un grupo de habla hispana.

Divulgaciones públicas anteriores de Kaspersky y Cylance (que fue adquirida por BlackBerry a principios de este año) se han hecho eco de hallazgos similares, pero los detalles sobre su identidad exacta siguen siendo desconocidos

El grupo detrás de Machete ha logrado continuar operando incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware“, concluyeron los investigadores de ESET. “Sin embargo, son las organizaciones seleccionadas las que han fallado en crear conciencia y aplicar políticas de seguridad para que los empleados no caigan en estos ataques en primer lugar“.

Referencias:

https://www.abc.es/tecnologia/informatica/software/abci-machete-virus-esta-robando-informacion-militar-venezuela-nicolas-maduro-201908051130_noticia.html

https://www.welivesecurity.com/2019/08/05/sharpening-machete-cyberespionage/

https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf

https://thenextweb.com/security/2019/08/06/secretive-machete-hacker-group-steals-gbs-worth-of-sensitive-files-from-the-venezuelan-military/

https://unaaldia.hispasec.com/2019/08/machete-el-how-to-del-malware-que-ha-puesto-en-jaque-al-ejercito-de-venezuela.html