COLOMBIA.- En 2010 comenzó a operar Machete, una campaña de ciberespionaje que infecta a los sistemas operativos Mac, Linux, Windows e incluso Android. Sus principales víctimas son de alto perfil, incluyendo agencias de gobierno, fuerzas militares y embajadas en América Latina.
La mayoría de los países afectados que detectó Kaspersky, están ubicados en Colombia, Venezuela, Ecuador, Rusia, Perú, Cuba y España. El objetivo de los atacantes es recopilar información sensible de las organizaciones comprometidas, y hasta ahora los atacantes tal vez hayan podido robar gigabytes de datos confidenciales exitosamente.
Al respecto, Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab, reveló que los ciberdelincuentes utilizan técnicas de ingeniería social para distribuir el malware.
En algunos casos, los atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros casos, phishing dirigido y combinado con infecciones vía web, especialmente por medio de la creación de blogs falsos previamente preparados.
‘A pesar de que Machete es un ataque técnicamente no sofisticado, tuvo mucho éxito con ingeniería social. Anticipamos que el nivel tecnológico de los cibercriminales locales aumente considerablemente, por lo que, probablemente, nuevas campañas de ataques dirigidos pueden llegar a ser muy similares, desde el punto de vista técnico, a aquéllas consideradas como las más sofisticadas del mundo’, comentó Bestuzhev, durante la Cumbre Latinoamericana de Analistas de Seguridad.
Todos los artefactos técnicos encontrados en esta campaña (como herramientas de ciberespionaje y el código del lado del cliente) tienen una baja sofisticación técnica en comparación con otras campañas dirigidas a nivel mundial. A pesar de esta simplicidad, expertos de Kaspersky Lab ya han encontraron a 778 víctimas alrededor del mundo.
Los analistas de la firma concluyeron que los atacantes de la campaña hablan español y son latinoamericanos.
La herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si está insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el micrófono del equipo, realizar capturas de pantalla, obtener datos de geolocalización y realizar fotos con la cámara web en las máquinas infectadas.
La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python copilado en archivos ejecutables de Windows, aunque esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de la codificación. Las herramientas no muestran signos de soporte multiplataforma, ya que el código es fuertemente orientado a Windows.
