Como parte del monitoreo periódico que hacemos desde el Laboratorio de Investigación de ESET en Latinoamérica sobre el estado de la seguridad en la región, durante esta semana detectamos lo que parecen ser campañas de propagación de un código malicioso enfocadas en afectar principalmente a usuarios de Colombia.

Se trata de un código malicioso del tipo troyano, que las soluciones de ESET detectan como parte de la familia Win32/Remtasu. El malware está desarrollado para robar información sensible del dispositivo de la víctima que esté almacenada en el portapapeles o a través de la captura de los eventos del teclado. La información robada es almacenada en un archivo dentro de la máquina, y luego es enviada a un equipo remoto utilizando el protocolo FTP.

La Ingeniería Social detrás de la propagación

Utilizando los reportes de los últimos cuatro meses, encontramos campañas de propagación que a través de correo electrónico descargaban un archivo ejecutable a la máquina de la posible víctima. Tal como lo podemos ver en la siguiente imagen, donde hay algunos de los Íconos que utilizaban las muestras que se propagaban, también se utilizan nombres de entidades conocidas o incluso palabras que pueden llamar la atención de un usuario desprevenido:

iconocsarchivos2

Dentro de algunos nombres que encontramos en estos archivos se encuentra la DIAN, Avianca, Falabella o títulos que hacen referencia a cobros jurídicos o pagos sin realizar. Además, vale la pena notar que si bien los íconos utilizados corresponden con aplicaciones o tipos de archivos como videos, fotos o documentos, la extensión de los mismos es la de un archivo ejecutable, lo cual ya es una señal de alerta para considerar el archivo como sospechoso.

Los números de estas campañas

Haciendo un análisis de las muestras relacionadas con esta variante de malware, notamos que el 82% de los archivos únicos detectados correspondían a campañas de propagación asociadas a correos electrónicos de servicios relacionados con usuarios en Colombia. El restante porcentaje lo encontramos repartido en direcciones asociadas con usuarios de países como Argentina, Chile, Brasil, Costa Rica, Ecuador, Venezuela y México, pero en menor medida:

remtasu_paises

Por otra parte, al analizar a nivel mundial las detecciones de nuestros productos encontramos que en el top 3 de países donde más se ha detectado esta amenaza en los últimos tres meses, es precisamente Colombia el que encabeza la lista. Además, dentro del top 10 de países encontramos a otros cuatro de la región.

Crecimiento de detecciones en los últimos meses

Una de las cuestiones que es importante destacar, es que si bien se trata de un código malicioso que se viene detectando desde hace varios años, particularmente en Colombia vimos cómo se han incrementado en los últimos meses. De hecho, tal como se aprecia en el siguiente gráfico, el crecimiento de las detecciones del troyano Remtasu fue del 30%:

crecimiento_detecciones_remtasu

Es importante recalcar que si bien tener una solución de seguridad puede ayudar cuando al tratar de descargar un contenido malicioso y detectarlo, ser cuidadosos con dónde hacen clic siempre brindará una protección adicional para mantenerse protegidos.

Desde el Laboratorio de Investigación de ESET Latinoamérica seguiremos analizando estas campañas de propagación y otras similares para mantenerlos informados, y que de esta manera podamos cuidar la seguridad de la información.