Los atacantes buscan espiar y robar información confidencial de sus víctimas, que se ubican principalmente en México, Colombia, Brasil, Estados Unidos, Venezuela y República Dominicana.
Kaspersky Lab advirtió sobre una nueva campaña de ciberespionaje llamada 'Saguaro', que se trata de un grupo cibercriminal regionalizado que utiliza el uso de un proceso sencillo y eficaz, para distribuir diferentes tipos de malware, afectando a instituciones financieras, de salud, de investigación, y proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística, principalmente de América Latina. México ha reportado la mayor cantidad de víctimas, aunque también ha afectado a Colombia, Brasil, Estados Unidos, Venezuela y República Dominicana.
El objetivo de 'Saguaro' es espiar y robar información confidencial de sus víctimas; así mismo, se reveló que los creadores de la campaña hablan español y tienen raíces en México.
Los ataques arrancan con un correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. Después se baja una segunda fase de carga desde un grupo de servidores Web que Saguaro utiliza y es ejecutada por el macro, infectando el sistema. Al almacenar el malware en línea con nombres de archivo como ‘logo.gif’ o ‘logo.jpg’, se albergan diferentes servidores de órdenes y control en cada ataque.
Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab, precisó que no existen rastros de ataques que hayan aprovechado vulnerabilidades de día cero, pero que se siguen modificando documentos y dejarlos circular de acuerdo con los objetivos del grupo.
Kaspersky Lab también descubrió que el malware busca juegos en línea, conexiones RDP, mineros Bitcoin y detecta si las máquinas de las víctimas se conectan a dispositivos Apple o Samsung por USB.