Como parte del monitoreo que hacemos permanentemente en nuestro Laboratorio de Investigación, de entre las amenazas que se propagaron por Latinoamérica durante esta semana encontramos una campaña de propagación centrada en afectar a usuarios en Colombia.

La campaña utiliza como mecanismo de Ingenería Social lo que parece ser una citación vencida obligatoria a declarar ante la Fiscalía General de la Nación. Es momento de asustarse, porque debes presentarte ante un juez para dar declaraciones... pero ¿tienes realmente una cuenta pendiente con la justicia?

La Fiscalía General de la Nación te espera

Además de una imagen que pareciera ser un documento oficial, el correo electrónico contiene un enlace para descargar el archivo de la supuesta citación en la computadora:

correomalicioso

Si hasta este punto el cibercriminal ha logrado engañar a su víctima, esta muy seguramente tratará de descargar el supuesto archivo, que pareciera venir de una dirección de correo electrónico de la entidad oficial. Sin embargo, no hay que olvidar que existen herramientas y servicios en Internet que permiten suplantar la identidad de un dominio para enviar correos electrónicos en su nombre.

Cuando el usuario hace clic en el enlace se inicia la descarga de un archivo. Pero no se trata de un archivo cualquiera, en este caso es uno con doble extensión, que en primera instancia resulta por lo menos familiar. Pero lo que parece ser un .PDF que debería contener la supuesta citación es realmente un archivo ejecutable:

payload

Así que, a través de esta sencilla campaña de Ingeniería Social, el atacante puede llevar a que muchos usuarios descarguen y ejecuten un archivo malicioso. Seguramente estás pensando en cómo es posible que existan personas que aún caen en este tipo de engaños. Desafortunadamente, como no todos leen de forma periódica WeLiveSecurity, no están tan informados como tú sobre cómo funciona este tipo de engaños.

El archivo en cuestión es detectado por las soluciones de ESET como una variante de Win32/Remtasu.Y, la familia de códigos maliciosos que en los últimos meses se ha propagado casi de manera exclusiva afectando usuarios en Colombia.

Una de las preguntas más recurrentes respecto a este tipo de campañas tiene que ver con tratar de identificar dónde se encuentran los actores maliciosos detrás. Si bien es algo que resulta muy complicado de identificar, sí hemos podido observar que esta variante hace peticiones de red a un sitio web alojado en un servicio que se encuentra en el país cafetero:

ipinformation

Una campaña más en el contexto general

El uso de este tipo de campañas es algo que parece se ha vuelto habitual entre los cibercriminales que propagan sus amenazas en Colombia. Hasta el año pasado era usual encontrar campañas asociadas con entidades reconocidas como la DIAN, Avianca o Falabella en archivos adjuntos de correos electrónicos con nombres relacionados con cuentas de cobro o facturas y escondiéndose en lo que parecía ser archivos de la suite de ofimática de Microsoft.

Además, ya durante este año habíamos informado de campañas maliciosas que propagaban esta misma amenaza (Remtasu), utilizando como mecanismo de Ingeniería Social una falsa herramienta para obtener contraseñas de cuentas de Facebook.

Todas son recurrentes y comparten determinadas similitudes, no solo en sus objetivos sino también en su manera de operar. Es por esto que no nos cansaremos de recordarte la importancia de tener una solución de seguridad actualizada para ayudar a detectar archivos maliciosos que eventualmente se puedan descargar en la computadora, pero además, ser cuidadoso con dónde haces clic. Con solamente posicionar el puntero del mouse encima de los enlaces que vienen en correos electrónicos puedes ver a dónde redirige realmente; esta buena práctica siempre brindará una protección adicional para mantenerte protegido.

Por nuestra parte, desde el Laboratorio de Investigación de ESET Latinoamérica, seguiremos analizando estas campañas de propagación y otras similares para mantenerlos informados sobre las características de las amenazas que vemos en la región.

Hash de la muestra

51b1849244f140bfb695b6f9f0b2420e8021f2da