{"id":7589,"date":"2016-08-31T19:01:55","date_gmt":"2016-08-31T19:01:55","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7589"},"modified":"2022-05-05T09:50:41","modified_gmt":"2022-05-05T15:50:41","slug":"oculto-a-simple-vista-el-grupo-saguaro-ataca-america-latina-utilizando-tecnicas-sencillas-pero-eficaces","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/oculto-a-simple-vista-el-grupo-saguaro-ataca-america-latina-utilizando-tecnicas-sencillas-pero-eficaces\/7589\/","title":{"rendered":"Oculto a simple vista: el grupo ‘Saguaro’ ataca Am\u00e9rica Latina utilizando t\u00e9cnicas sencillas, pero eficaces"},"content":{"rendered":"
\n
\n
\n

Kaspersky Lab anuncia el descubrimiento de una nueva campa\u00f1a de ciberespionaje bautizada <\/span>como \u2018Saguaro\u2019, un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware. Esta campa\u00f1a ha sido dirigida desde el a\u00f1o 2009 a v\u00edctimas importantes, entre ellas las instituciones financieras, de salud y de investigaci\u00f3n, as\u00ed como los proveedores de Internet, agencias de relaciones p\u00fablicas, universidades y empresas de log\u00edstica. El campo principal de operaci\u00f3n es Am\u00e9rica Latina, y la gran mayor\u00eda de sus v\u00edctimas est\u00e1 ubicada en M\u00e9xico. Otros pa\u00edses afectados son Colombia, Brasil, EE.UU., Venezuela y Rep\u00fablica Dominicana, entre otros. El objetivo de los atacantes es espiar y robar informaci\u00f3n confidencial de sus v\u00edctimas.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Bas\u00e1ndose en los hallazgos realizados durante la investigaci\u00f3n, los expertos de Kaspersky Lab concluyeron que los atacantes de la campa\u00f1a hablan espa\u00f1ol y tienen ra\u00edces en M\u00e9xico.\u00a0 El objetivo, en su mayor\u00eda, son los pa\u00edses de Latinoam\u00e9rica y las victimas fuera de la regi\u00f3n tienen una fuerte conexi\u00f3n con ella.\u00a0<\/span><\/p>\n

\u00a0<\/span><\/p>\n

\u201cSi bien Saguaro se puede considerar un \u2018cibercrimen tradicional\u201d, la concentraci\u00f3n geogr\u00e1fica de sus v\u00edctimas y las simples t\u00e9cnicas que se utilizan para obtener el acceso a varias instituciones de alto nivel lo hacen una amenaza inusual y apremiante en el panorama latinoamericano. El patr\u00f3n utilizado en cada uno de los dominios es pr\u00e1cticamente el mismo, pues la singular huella digital que deja contribuy\u00f3 a revelar la magnitud de esta operaci\u00f3n que a\u00fan sigue activa\u201d<\/span><\/i>, dijo Dmitry Bestuzhev, Director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky Lab.<\/b><\/span><\/p>\n

\u00a0<\/span><\/p>\n

Toda la evidencia recopilada indica que el Grupo Saguaro comenz\u00f3 en 2009 y que todav\u00eda est\u00e1 activo. Los ataques empiezan con un simple correo electr\u00f3nico del tipo spear-phishing, que atrae a las v\u00edctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Para crear un gancho m\u00e1s cre\u00edble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o instituci\u00f3n financiera. En un paso siguiente, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo \u2018Saguaro\u2019 utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado. Almacenar el malware en l\u00ednea con nombres de archivo como \u2018logo.gif\u201d o \u201clogo.jpg \u201c, mientras se albergan diferentes servidores de \u00f3rdenes y control en cada ataque, hace que rastrear e identificar el tr\u00e1fico sospechoso en la red sea una tarea dif\u00edcil, ya que todas las comunicaciones se realizan mediante peticiones regulares de aportes HTTP. Adem\u00e1s, los servidores web utilizados para distribuir los diferentes componentes tienden a ser servidores leg\u00edtimos preparados por los atacantes o servidores web especialmente instalados por el grupo \u2018Saguaro\u2019.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Por el momento, no hay indicios de ataques que hayan aprovechado vulnerabilidades de d\u00eda cero. Sin embargo, se siguen modificando documentos y dej\u00e1ndolos circular de acuerdo con los objetivos a los que el grupo est\u00e1 apuntando actualmente. La simplicidad ha sido un aspecto importante de toda la campa\u00f1a y, como en otras amenazas regionales, la reutilizaci\u00f3n de c\u00f3digo es siempre una alta prioridad cuando se trata de evitar el desarrollo innecesario y costoso de un nuevo malware. A pesar de esta simplicidad, los expertos de Kaspersky Lab identificaron m\u00e1s de 120,000 v\u00edctimas en todo el mundo.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Este grupo de ciberespionaje utiliza el malware, las puertas traseras y las herramientas de administraci\u00f3n remota para robar datos de los navegadores web, clientes de correo electr\u00f3nico, aplicaciones FTP, programas de mensajer\u00eda instant\u00e1nea, conexiones VPN, e incluso captura contrase\u00f1as de Wi-Fi almacenadas y credenciales de la nube. Adem\u00e1s, uno de los m\u00f3dulos extrae direcciones de contactos de las m\u00e1quinas de las v\u00edctimas. Los expertos en seguridad de Kaspersky Lab han descubierto tambi\u00e9n que el malware busca juegos en l\u00ednea, conexiones RDP, mineros Bitcoin y detecta si las m\u00e1quinas de las v\u00edctimas se conectan a dispositivos Apple o Samsung por USB.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Cada nueva muestra de malware del grupo Saguaro puesta en circulaci\u00f3n tiene una baja tasa de detecci\u00f3n por las soluciones antivirus.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Los productos de Kaspersky Lab detectan el malware de Saguaro como:<\/span><\/b><\/p>\n

Trojan-Downloader.MSWord.Agent<\/p>\n

HEUR:Trojan-Downloader.Script.Generic<\/p>\n

Trojan-Downloader.VBS.Agent<\/p>\n

Trojan.Win32.Yakes<\/p>\n

Trojan-Downloader.Win32.Agent<\/p>\n

Trojan-Ransom.Win32.Shade<\/p>\n

Trojan-Ransom.Win32.Foreign<\/p>\n

Trojan-Ransom.NSIS.Onion<\/p>\n

Trojan.Win32.Droma<\/p>\n

Trojan-PSW.Win32.Tepfer<\/p>\n

Email-Worm.MSIL.Agent<\/p>\n

HEUR:Trojan.Win32.Generic<\/p>\n

Trojan-Proxy.Win32.Lethic<\/p>\n

Trojan.Win32.Bublik<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Acerca de Kaspersky Lab<\/span><\/p>\n

Fundada en 1997, Kaspersky Lab es una empresa global de ciberseguridad. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras cr\u00edticas, gobiernos y consumidores de todo el mundo. El portafolio de seguridad integral de la compa\u00f1\u00eda incluye protecci\u00f3n l\u00edder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evoluci\u00f3n. M\u00e1s de<\/span><\/strong> <\/i>400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky Lab <\/i>y a<\/i><\/span>yudamos a 270,000 clientes corporativos a proteger lo que m\u00e1s valoran. M\u00e1s informaci\u00f3n en <\/span><\/strong>http:\/\/latam.kaspersky.com<\/span><\/a>.<\/span><\/strong><\/p>\n<\/div>\n<\/div>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Kaspersky Lab anuncia el descubrimiento de una nueva campa\u00f1a de ciberespionaje bautizada como \u2018Saguaro\u2019, un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para<\/p>\n","protected":false},"author":2706,"featured_media":7590,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[34,1506,2715],"class_list":{"0":"post-7589","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-malware-2","11":"tag-mexico","12":"tag-saguaro"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/oculto-a-simple-vista-el-grupo-saguaro-ataca-america-latina-utilizando-tecnicas-sencillas-pero-eficaces\/7589\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/malware-2\/","name":"malware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7589"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7589\/revisions"}],"predecessor-version":[{"id":17756,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7589\/revisions\/17756"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7590"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}