En repetidas ocasiones hemos reportado desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica, las campañas que los cibercriminales lanzan con el fin de afectar a usuarios de la región. En el día de hoy, compartimos con ustedes algunas de las últimas campañas identificadas en El Salvador y Guatemala, que buscan infectar a través de un archivo de Word malicioso a aquellos usuarios desprevenidos, con el fin de poder acceder a los equipos de manera remota.
A mediados de la semana pasada, un correo llegó a la bandeja de cientos de usuarios de El Salvador, el mismo decía provenir del Departamento de Finanzas del Ministerio de Hacienda:
A mediados de la semana pasada, un correo llegó a la bandeja de cientos de usuarios de El Salvador, el mismo decía provenir del Departamento de Finanzas del Ministerio de Hacienda:
Aquellos usuarios víctimas del engaño, seguían el enlace en el correo y
eran redirigidos a un sitio de descarga de archivos, desde el cual
bajaban un documento de Word titulado “Ministerio-de-Hacienda-Estado-de-Cuenta-Pendiente.doc” (el cual es detectado por ESET como VBA/TrojanDownloader.Agent.IP).
Para la sorpresa de los usuarios que deseaban ver el contenido del
documento, este parece estar vacío. Sin embargo, si la potencial víctima
habilita o ya tenía habilitadas las Macros, se ejecuta un código que
descarga desde la web una variante de Win32/Remtasu. En esta oportunidad los cibercriminales ni siquiera agregaron contenido al documento:
El código de la Macro, solo cuenta con unas pocas líneas que descargarán el documento y lo ejecutarán en el sistema:
La URL maliciosa a la cual se intenta conectar el documento, fue utilizada en repetidas ocasiones y al momento de publicar este post se han identificado más de 70 códigos maliciosos que se propagaron desde la misma URL desde finales de Septiembre.
En base a la temática de Ingeniería Social que se utilizó, al cuerpo del correo y el payload, podemos asegurar que la campaña está dirigida particularmente a usuarios de El Salvador. Sin embargo, más allá de la clara dirección de este ataque, también nos encontramos con otro reporte proveniente de Guatemala.
A días del primer reporte, desde ESET Guatemala nos contactaron con una nueva campaña de similar características, pero esta vez haciéndose pasar por entidades gubernamentales de dicho país de Centro América:
En base a la temática de Ingeniería Social que se utilizó, al cuerpo del correo y el payload, podemos asegurar que la campaña está dirigida particularmente a usuarios de El Salvador. Sin embargo, más allá de la clara dirección de este ataque, también nos encontramos con otro reporte proveniente de Guatemala.
A días del primer reporte, desde ESET Guatemala nos contactaron con una nueva campaña de similar características, pero esta vez haciéndose pasar por entidades gubernamentales de dicho país de Centro América:
Aunque este correo, al igual que el anterior, parezca venir de direcciones de la Superintendencia de Administración Tributaria de Guatemala esto no es así. Muchas personas que recibieron un correo similar al de la imagen en su bandeja de entrada, fueron engañadas por técnicas de Ingeniería Social en combinación con algunas herramientas informáticas. Cuando uno analiza en detalle la cabecera del correo electrónico es posible observar lo siguiente:
En la captura anterior es posible notar cómo el
atacante utilizó una herramienta conocida como PHP Mailer en conjunto
con un ataque de Spoofing para hacerse pasar
por una dirección de correo del SAT. Al revisar las direcciones de IP
involucradas, el servidor desde dónde se enviaron los correos estaba
alojado en Estados Unidos.
En una primera instancia, si bien es común
encontrarnos con metodologías similares a lo largo de toda la región y
el mundo, son pocos los casos en los que ataques a diferentes países
busquen descargar el mismo código malicioso desde la misma dirección
URL. Este dato realmente nos llamó la atención, dado que todas las
variantes de malware utilizadas en estas campañas son detectadas por los
productos de ESET como Win32/Remtasu.
Payload, Backdoor y un poco más
La familia de códigos maliciosos detectada por los productos de ESET como Win32/Remtasu
se conoce desde hace ya algún tiempo, afectando también a otros países
de la región como Colombia, Argentina, Chile, Brasil y Costa Rica.
En el post “El troyano Remtasu se apodera de Colombia”
mostramos diferentes campañas que afectaron a Colombia, pero con un
modo de operación diferente. Los archivos maliciosos se propagaron en
los correos ocultando la amenaza con una doble extensión, mientras que
en el caso de El Salvador y Guatemala se utilizaron variantes de VBA/TrojanDownloader.Agent.IP.
En las variantes observadas en El Salvador Y Guatemala, el ejecutable compilado con AutoIt
deja en el sistema diferentes componentes que le permiten al atacante
robar información como por ejemplo las claves bancarias de las cuentas
de su víctima.
Para aquellos que hayan leído nuestro informe “Tendencias 2015: el mundo corporativo en la mira”,
habrán visto que mencionábamos el rol de las Botnets en la región, y en
particular la aparición de familias específicas que se esparcen por
toda la región y que son características de diferentes países. En este
caso en particular, estamos viendo como usuarios de dos países de Centro
América están siendo víctimas de campañas dirigidas, con el fin de
acceder a su información personal. Como siempre, las recomendaciones son
las mismas: contar con una solución de seguridad actualizada y ser
precavidos ante este tipo de correos.
Autor Pablo Ramos, ESET
0 Comentarios:
Post a Comment