En esta oportunidad queremos compartir con ustedes el análisis de un ataque reportado al Laboratorio de ESET Latinoamérica por el Distribuidor de ESET en Venezuela. El ataque comienza con la propagación de un correo falso que dice provenir del SENIAT (Servicio Integrado de Administración Aduanera y Tributaria),  haciendo uso de la Ingeniería Social la posible víctima puede seguir el enlace a una página maliciosa que lleva a la descarga de esta amenaza.

Una vez que el usuario recibe el correo y cae víctima del engaño sigue en enlace que lo lleva a la descarga de un archivo que supone ser un PDF pero que en realidad tiene una doble extensión: seniat.pdf.exe.


Ante la curiosidad del usuario, quien desea conocer las posibles novedades acerca de temas de índole jurídica y de impuestos de su país, puede pasar por alto que este archivo cuenta con una doble extensión y ejecutar el mismo. Al hacerlo en realidad no estaría abriendo un PDF sino que se trataría de un troyano detectado como Win32 Qhost.NHN por ESET NOD32 Antivirus. Esta muestra se encuentra empaquetada con una variante de UPX para dificultar su análisis, sin embargo veamos qué es lo que hace.

La amenaza esta diseñada para modificar el archivo host del sistema y de ese momento en adelante, cuando el usuario quiera acceder a la página de su banca electrónica en realidad estará accediendo a una página falsa en la que sus datos podrían ser robados por el atacante:

Como se puede observar en la captura la página es muy similar a la original y lleva al usuario a creer que realmente esta accediendo al sitio oficial, sin siquiera pensar que está siendo víctima de un ataque de phishing. Una vez que intente iniciar sesión sus datos caerán en manos del atacante. Para no levantar sospechas, luego de que el usuario ingresa la información de su tarjeta de crédito aparece el siguiente mensaje:

Esta amenaza es detectada a través de la heurística avanzada de ESET NOD32 Antivirus, ya que al momento de reportar la muestra la misma no era detectada por gran parte de los motores antivirus:

La detección por heurística se basa en un conjunto de reglas que se usan para detectar el comportamiento de los programas maliciosos sin necesidad de identificar de forma exclusiva a la amenaza específica, como es requerido por la detección clásica basada en firmas. De esta manera se ofrece al usuario una protección proactiva y se lo protege de códigos maliciosos sin la necesidad de contar con una base de firmas.

Latinoamérica ya no es una región receptora de códigos maliciosos y este caso es un claro ejemplo de que hoy en día se están desarrollando ataques informáticas regionales en dónde mediante la combinación de malware e Ingeniería Social se propagan ataques dirigidos como este caso reportado en Venezuela.

En un trabajo en conjunto con el equipo técnico del distribuidor de ESET en Venezuela y el Laboratorio de análisis e investigación de ESET Latinomaérica se ha reportado, analizado e informado acerca de un nuevo ataque en la región.

Pablo Ramos
Especialista en Awareness & Research