Las últimas semanas han estado moviditas. En menos de un mes he visto al menos tres cosas que no me gustan. En un post anterior conté que me contactaron haciéndose pasar por alguien que conozco. Antes de eso ya había sabido de otra movida extraña y ayer intentaron hackearme a través del correo electrónico. No quiero ser paranoico. Tal vez se trate de situaciones aisladas pero igual estaré muy alerta.
Intentaron hackearme enviándome un correo legítimo. En efecto es un correo que está en mis contactos. Es el email de la administración de un condominio donde tengo una propiedad. En el mensaje me notificaban que se había interpuesto una acción legal en mi contra y adjuntaban un archivo con la supuesta notificación.
El mensaje, de entrada, mostraba tres banderas rojas. La primera es la palabra demanda, poco usada en el argot jurídico institucional pues ellos hablan de denuncias, procesos y más. La segunda bandera roja es la contraseña pues normalmente los documentos se cifran con la identificación del notificado y la tercera bandera roja era el archivo adjunto.
El archivo enviado no era un .pdf sino un .svg, un gráfico vectorial escalable. ¿Quién envía notificaciones judiciales así? Con eso es suficiente para saber que se trata de un fraude. Sin embargo, como soy una persona curiosa quise saber un poco más del asunto y me di a la tarea de destriparlo para conocer su interior.
En mi Kali Linux, donde no almaceno ni medio archivo con información personal, abrí el navegador Tor y desde allí ejecuté el archivo .svg. Se trataba de una suplantación de la página de la Fiscalía de Colombia. A simple vista está bien hecha. Una persona incauta caería sin dudarlo. Pinché el link de Descargar Documento y se descargó un archivo .lzh.
Esto despertó aún más mi interés. Los archivos .lzh son archivos comprimidos obsoletos. Ahora todo se comprime en formatos .zip y .7z. ¿Por qué alguien en noviembre de 2025 comprimiría archivos con el algoritmo Lempel-Ziv Haruyasu? No tiene ningún sentido y tenía que saber de qué se trataba todo esto.
Para analizar el archivo .lzh instalé la aplicación lhasa con el comando: sudo apt install lhasa. Con ella podría analizar el contenido comprimido sin ejecutar los archivos. Intenté listar el contenido del archivo con el comando lhasa -l archivo.lzh pero la respuesta fue una tabla vacía:
¿Cómo es posible que un comprimido que pesa 6,1 Mb esté vacío? No es posible. Lo que pasaba es que no era un archivo .lzh legítimo sino una suplantación. Por eso lhasa no podía listar su contenido. Esto lo hacen para evadir la detección automática en Windows.
Le pasé el archivo a mi IA local para que me leyera las cabeceras y el resultado se reveló en los primeros bytes: 37 7A BC AF 27 1C. En ASCII sería: 7z\xbc\xaf’\x1c. 37 7A = 7z la firma clásica de un archivo .7z. El supuesto archivo .lzh en realidad era un .7z renombrado. Ahora sí podría listar su contenido desde la terminal pero primero debía cambiarle la extensión con el comando: mv archivo.lzh archivo.7z.
Ahora solo tenía que usar el comando 7z l archivo.7z para listar su contenido y así fue:
Ahí estaba el contenido comprimido. Un archivo .exe, librerías (.dll), archivos de Delphi (.bpl) y archivos cifrados que el ejecutable usa (.olg y .ja). Por los ingredientes supe que estaba frente a un malware bancario como Grandoreiro o Mekotio. No es un ataque menor. De hecho, en los últimos tiempos han sido de los más exitosos.
Con este tipo de ataques los delincuentes capturan claves, hacen keylogging, reemplazan ventanas de entidades financieras, descargan payloads adicionales, se conectan a un C2 para control remoto, roban credenciales de correos y de wallets, bloquean la pantalla durante transacciones, usan SQLite para almacenar los datos de las víctimas y usan OpenSSL para cifrar el tráfico al servidor del atacante entre otras cosas.
Sabiendo lo que contenía el comprimido decidí extraer los archivos con el comando: 7z x archivo.7z. Me pidió la clave, se la di y extrajo los archivos en una carpeta. Ahora tenía los archivos individuales como se ve en la siguiente imagen:
Después pensé que quizás podría averiguar a dónde iban los datos robados a las víctimas. Tal vez hubiera una IP o algo que me permitiera seguir halando el hilo. Comencé con el comando strings -n 8 "001_DEMANDA JUZGADO PENAL DE BOGOTA.exe" > strings_exe.txt para extraer cadenas de mínimo 8 caracteres consecutivos.
Con el archivo .txt procedí a buscar palabras y siglas que me permitieran conocer algo del C2 con los comandos: grep -Ei "http|https|.php|cmd|send|post|api|gate" strings_exe.txt y grep -Ei "xyz|top|club|shop|live|click|php" strings_exe.txt pero lo cierto es que no encontré nada.
Después seguí buscando, dentro del mismo archivo .txt, con comandos de filtrado tales como: grep -Ei "AES|RC4|crypto|ssl|sqlite|POST|GET|user" strings_exe.txt y grep -Ei "/send|/post|/panel|/api|/gate" strings_exe.txt pero tampoco obtuve un carajo.
Hice lo mismo con los archivos .olg y .ja pero tampoco pude averiguar nada relevante. El filtrado sí me mostró que el bicho tiene toda la infraestructura para subir datos por HTTP/HTTPS pero no había datos del servidor en texto plano y eso es lo mismo que nada.
Para averiguar más acerca de este Malware tenía dos opciones: hacer ingeniería inversa profunda, cosa que escapa a mis conocimientos autodidactas, o crear un Sandbox con Windows para capturar el tráfico con Wireshark y tcpdump, cosa que me daba muchísima flojera hacer.
Para mí es suficiente saber qué tipo de ataque intentaron hacer. Ahora sé que se trata de un loader bancario completo y no de un simple phishing ordinario. Esto fue hecho por personas que saben del tema y estaré muy alerta con los correos, los mensajes, las llamadas y demás formas de contacto.
Al final lo más importante de este caso es entender que un correo comprometido se convierte en una plataforma de ataque muy eficiente porque los destinatarios confían en el remitente. Ese pequeño detalle marca la diferencia entre un ataque exitoso y uno fallido. Lo técnico está muy bien pero el factor crucial es la forma en que lo técnico se lleva a la posible víctima. Es pura ingeniería social.
Ya informé al emisor que su email está siendo utilizado para lanzar ataques de fraudes bancarios pero me temo que para cuando apliquen los correctivos algunas personas de la lista de contactos ya habrán caído en la trampa.
Quiero pensar que lo visto en las últimas semanas son solo coincidencias desafortunadas y que no se trata de un ataque dirigido. No creo que mis malquerientes (que los hay) me odien tanto para dedicarme esa enorme cantidad de tiempo y esfuerzo pero en caso de ser así: ¡Buen intento motherfuckers! 😎
