Se trata de un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware. El 98% de las víctimas está ubicada en México, pero sigue creciendo en la región. Cobertura especial de la Cumbre de Analistas de Seguridad, desde Los Cabos, México.
Si bien el campo principal de operación es principalmente México, otros países afectados son Colombia, Brasil, EE.UU., Venezuela y República Dominicana, entre otros. El objetivo de los atacantes es espiar y robar información confidencial de sus víctimas.
Basándose en los hallazgos realizados durante la investigación, los expertos de Kaspersky Lab concluyeron que los atacantes de la campaña hablan español y tienen raíces en México. El objetivo, en su mayoría, son los países de Latinoamérica y las victimas fuera de la región tienen una fuerte conexión con ella.
«Si bien Saguaro se puede considerar un ‘cibercrimen tradicional», la concentración geográfica de sus víctimas y las simples técnicas que se utilizan para obtener el acceso a varias instituciones de alto nivel lo hacen una amenaza inusual y apremiante en el panorama latinoamericano. El patrón utilizado en cada uno de los dominios es prácticamente el mismo, pues la singular huella digital que deja contribuyó a revelar la magnitud de esta operación que aún sigue activa», dijo Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab.
Toda la evidencia recopilada indica que el Grupo Saguaro comenzó en 2009 y que todavía está activo. Los ataques empiezan con un simple correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido.
Para crear un gancho más creíble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. En un paso siguiente, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo ‘Saguaro’ utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado.
Según la investigación, este grupo de ciberespionaje utiliza el malware, las puertas traseras y las herramientas de administración remota para robar datos de los navegadores web, clientes de correo electrónico, aplicaciones FTP, programas de mensajería instantánea, conexiones VPN, e incluso captura contraseñas de Wi-Fi almacenadas y credenciales de la nube. Además, uno de los módulos extrae direcciones de contactos de las máquinas de las víctimas.
Los expertos en seguridad de Kaspersky Lab han descubierto también que el malware busca juegos en línea, conexiones RDP, mineros Bitcoin y detecta si las máquinas de las víctimas se conectan a dispositivos Apple o Samsung por USB.
Cada nueva muestra de malware del grupo Saguaro puesta en circulación tiene una baja tasa de detección por las soluciones antivirus.
Los productos de Kaspersky Lab detectan el malware de Saguaro como:
Trojan-Downloader.MSWord.Agent
HEUR:Trojan-Downloader.Script.Generic
Trojan-Downloader.VBS.Agent
Trojan.Win32.Yakes
Trojan-Downloader.Win32.Agent
Trojan-Ransom.Win32.Shade
Trojan-Ransom.Win32.Foreign
Trojan-Ransom.NSIS.Onion
Trojan.Win32.Droma
Trojan-PSW.Win32.Tepfer
Email-Worm.MSIL.Agent
HEUR:Trojan.Win32.Generic
Trojan-Proxy.Win32.Lethic
Trojan.Win32.Bublik
Bestuzhev recomendó a las organizaciones atacadas reportar el hecho a intelreports@kaspersky.com.
