Dentro del análisis se muestra cómo los ciberdelincuentes actualizan el malware regularmente mejorando su arsenal e infraestructura. Esta nueva variante que consiste en un conjunto de herramientas para Python, detectada por primera vez en Abril de 2018, siendo utilizado como backdoor, ahora añade nuevas funcionalidades.
La mayoría de las infecciones se ubicaron en Venezuela (75%), seguidas de Ecuador (16%) y Colombia (7%), en el caso del país más afectado, la gran mayoría de los sistemas infectados pertenecían al ejército venezolano.
El vector consiste en enviar correos electrónicos muy específicos directamente a sus víctimas, que van cambiando de objetivo a objetivo. Estos correos electrónicos contienen un enlace o un archivo adjunto de un archivo comprimido autoextraíble que ejecuta el malware y abre un documento (Word o PDF), este último es utilizado como señuelo.
Todas las URL's de descarga se encuentran alojadas en Dropbox o en Google Docs. Los archivos autoextraíbles (RAR SFX) que se descargan de estas URL's, contienen configuración cifrada y componentes del Backdoor final, registrado como py2exe. Sin embargo, desde mayo de 2019, los operadores de Machete dejaron de usar descargadores y comenzaron a incluir el archivo señuelo y los componentes del Backdoor en el mismo archivo.
Todas las URL's de descarga se encuentran alojadas en Dropbox o en Google Docs. Los archivos autoextraíbles (RAR SFX) que se descargan de estas URL's, contienen configuración cifrada y componentes del Backdoor final, registrado como py2exe. Sin embargo, desde mayo de 2019, los operadores de Machete dejaron de usar descargadores y comenzaron a incluir el archivo señuelo y los componentes del Backdoor en el mismo archivo.
La nueva variante del malware implementa por supuesto capacidades de robo de información principalmente, pero también se destaca en la forma en que se distribuye y también en los objetivos de la campaña. Anteriormente Machete no se encontraba tan enfocado en lo que respecta a organizaciones latinoamericanas.
Varios artefactos del código de Machete y la infraestructura se deduce que el grupo corresponde a hablantes hispanos. La investigación contiene una lista completa de Indicadores de Compromiso (IoC). La variante fue apodada como Python/Machete.
REFERENCIA
COMENTARIOS