Investigadores de ESET descubrieron un actor de amenazas que viene llevando adelante campañas maliciosas enfocadas en usuarios corporativos de Argentina distribuyendo un conocido troyano de acceso remoto (RAT) para espiar en los equipos de sus víctimas.

“Podemos afirmar, con un alto nivel de confianza, que este actor malicioso no es muy sofisticado y que es del mismo país que las organizaciones apuntadas. Decidimos llamarlo LuxPlague, ya que tras un exhaustivo análisis de distintas muestras de malware utilizadas pudimos determinar que, según los datos de nuestra telemetría, este actor de amenazas es el responsable del mayor porcentaje de detecciones de NjRAT en Argentina, un popular troyano que suele ser utilizado por otros actores maliciosos como plantilla de malware”, dijo Facundo Muñoz, analista de malware de ESET Latinoamérica.

A partir del análisis de las muestras del malware recolectadas, las URL y las direcciones IP asociadas de los servidores de C&C utilizados para controlar remotamente los equipos comprometidos de sus víctimas, ESET creó un mapa de las actividades de este actor malicioso, la cual se remonta al menos a 2018 y se mantenía en actividad a fines de 2021.

Si bien al momento este operador se mantiene en actividad, ESET describe el comportamiento del mismo sobre la base de una campaña que comenzó en septiembre 2020. La misma incluía el envío masivo de correos de phishing que pretendía engañar a las potenciales víctimas haciéndole creer que se trataba de una notificación de la Administración Federal de Ingresos Públicos (AFIP) de Argentina.

Los correos detectados contenían como adjunto un archivo comprimido en formato ZIP de un archivo con un script que descarga un falso JPG, de un servicio web de hosting de archivos. La falsa imagen JPG contiene al troyano codificado en base64. Una vez decodificado lo ejecuta dinámicamente utilizando funciones de .NET framework, por lo que el script no almacena al troyano en el disco directamente.

“El malware que utiliza LuxPlague es una variante de NjRAT, un troyano de código abierto que se cree fue desarrollado originalmente en Medio Oriente y cuyo código después se filtró. La variante utilizada por LuxPlague fue creada por el mismo actor que desarrollo LimeRAT, una versión más poderosa de NjRAT que ha sido utilizada por otros cibercriminales en múltiples campañas a lo largo del mundo”, agregó el investigador de ESET.

Las capacidades del RAT distribuido por LuxPLague, son:

1. Conexión al servidor C&C vía Sockets TCP en tiempo real
2. Realizar capturas de pantalla en el equipo comprometido
3. Realizar captura de imágenes a través de la cámara web
4. Registrar pulsaciones de teclado (Keylogging)
5. Ampliar sus capacidades mediante plugins
6. Enumeración de ventanas
7. Establecer persistencia modificando el Registro de Windows y desinstalación automática del malware
8. Actualizarse
9. Modificar el registro de Windows
10. Descargar archivos comprimidos en formato GZIP, extraer su contenido y ejecutarlo
11. Descargar archivos ejecutables desde un servidor web y ejecutarlos

De acuerdo a la campaña analizada, ESET apunta a que este envío de correos de phishing comenzó con el compromiso de un equipo de una organización gubernamental Argentina. Una vez logrado esto, el actor recolectó una base de datos que contenía direcciones de correo de proveedores de todo tipo de industrias, así como de otras organizaciones gubernamentales, para luego utilizar un programa para el envío masivo de malspam.

El investigador de ESET, agregó: “el actor de amenazas detrás de LuxPlague no se caracteriza por ser muy sofisticada y esto se observa también en algunas fallas de seguridad presentes en su accionar, vale la pena mencionar que ha continuado probando herramientas para ofuscar binarios y diseminando esta variante de NjRAT a lo largo de todo 2021, por lo que no sabemos cómo utilizará este operador los equipos comprometidos o si habrá algún giro en el objetivo de sus campañas”.

Si bien los productos de ESET detectan la variante utilizada por LuxPlague desde la compañía comparten los siguientes consejos, considerando que se distribuye a través de correos de phishing, para estar protegidos:

1. No abrir correos si se duda de que sean verdaderos
2. Revisar atentamente la dirección del remitente y si es legítima o no
3. No abrir enlaces ni descargar archivos adjuntos en correos enviados por desconocidos
4. Revisar la extensión de los archivos adjuntos para ver si el formato verdadero está oculto
5. Tener una solución de seguridad instalada en el equipo que detecte el adjunto malicioso