EL
TROYANO REMTASU DETRÁS DE LAS FALSAS FOTOMULTAS EN COLOMBIA
Para darle credibilidad al engaño, el mensaje
generalmente incluía el número de placa del vehículo infractor o un enlace para
ver dos fotos que, presuntamente, demostraban la infracción. Pero, en realidad,
comienzan la descarga de malware.
Según pudieron determinar los investigadores de ESET, el troyano Remtasu es la amenaza
que está detrás de esta campaña, así como de varias otras en Colombia y también
en otros países de la región. Las soluciones de
ESET lo detectan como parte de la familia Win32/Remtasu y es un
malware desarrollado para robar información sensible que esté
almacenada en el portapapeles, o a través de la captura de los eventos del
teclado con su funcionalidad de keylogger.
La información robada es almacenada en un archivo
dentro de la máquina infectada, y luego es enviada a un equipo remoto del
atacante utilizando el protocolo FTP. Desde 2015, Remtasu ha estado
haciéndose notar en la región y sus engaños siempre hacen buen uso de la
ingeniería social. Las variantes que más se propagan utilizan nombres de
entidades y empresas conocidas, como Falabella o Avianca,
y en este caso el Simit, o palabras que llaman la atención de sus víctimas:
“multa”, “factura”, “importante”, “obligación”, entre otras.
La siguiente captura que habíamos publicado en 2015
muestra algunos de los archivos con los que se suele propagar Remtasu en correos
electrónicos; si bien por los íconos parecen ser archivos multimedia o de
texto, todos son ejecutables que, una vez abiertos, descargan
e instalan la amenaza en el equipo de la víctima.
El cobro de multas y facturas pendientes de pago
es, por lo tanto, uno de los señuelos habituales de Remtasu y
la campaña actual de las fotomultas es un ejemplo más.
Los investigadores de ESET también descubrieron
que, una vez que infectó al equipo, Remtasu lo convierte en un zombi, es decir,
pasa a formar parte de una botnet controlada
por el atacante. Los objetivos de esta red de equipos comprometidos pueden
variar, pero las botnets generalmente se usan para enviar spam en forma masiva,
distribuir malware, alojar contenido ilegal, minar criptomonedas o ejecutar
ataques DDoS, todo lo cual es posible gracias al uso de todos esos recursos que
pueden trabajar de manera conjunta y distribuida.
Si bien todavía no sabemos para qué se usa esta
botnet, sí sabemos por los análisis anteriores que
es altamente probable que sea administrada desde Colombia, porque
allí está el servidor al que contacta la amenaza.
Podemos estar seguros de que Remtasu no se tomará
un descanso en el futuro cercano y seguirá propagándose con nuevos pretextos.
Por lo tanto, es importante que estés al tanto de su comportamiento para que,
si recibes un correo de este tipo, no le hagas caso y observes con
atención en busca de las señales de que es un engaño.
Además, contar con una solución de seguridad te evitará
infectarte con estos tipos de malware que se esconden en adjuntos y muchos
otros más, y por supuesto, recuerda pensar antes de hacer clic para
no caer en ninguna trampa y navegar seguro.
Para más información ingrese al portal de noticias
de ESET llamado WeLiveSecurity en: https://www.welivesecurity.com/la-es/2017/07/27/remtasu-falsas-fotomultas-en-colombia/
No hay comentarios:
Publicar un comentario