El Laboratorio de Investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, analizó una campaña maliciosa dirigida a empresas y organismos públicos de Colombia. Se trata de la distribución de REMCOS, un código malicioso con distintas capacidades para robar información sensible de las víctimas y que se propaga a través de correos maliciosos.
ESET comenzó a detectar la actividad de esta campaña a mediados del mes de marzo de este año. En su mayoría, los usuarios objetivos fueron de Colombia, siendo los sectores principalmente atacados los del rubro de la construcción, servicios automotores, entidades gubernamentales y también usuarios hogareños.
Según ESET, el modo de ataque comienza con la distribución de correos electrónicos con archivos adjuntos maliciosos que suplantan la identidad de distintas entidades de renombre como bancos, financieras y servicios de mensajería, con la excusa de comunicar sobre un supuesto envío o un asunto jurídico urgente que de no atenderse llevaría a alguna acción legal. La técnica utilizada es conocida como Spear Phishing, donde los cibercriminales seleccionan a sus víctimas, previa investigación y planificación del ataque dirigido a un blanco específico.
Una vez que el usuario cae en el engaño y descarga el archivo adjunto en el correo, ejecutará en la máquina de la víctima el troyano Remcos. Este código malicioso tiene funcionalidades que le permiten a los atacantes realizar diversas de acciones en los dispositivos infectados:
- Realizar capturas de pantalla
- Realizar capturas de las teclas que son pulsadas por el usuario
- Grabar audio
- Manipulación de archivos
- Ejecutar comandos en una máquina
- Ejecutar scripts en una máquina
Una vez recolectada toda la información, la misma es enviada a un servidor controlado por los cibercriminales. “Si bien Remcos es un software de administración remota legítimo que no fue desarrollado con fines maliciosos, por sus características se convirtió en una herramienta utilizada por cibercriminales para realizar diferentes campañas de espionaje y otras actividades maliciosas.”, comenta Fernando Tavella, Malware Researcher de ESET Latinoamérica.
Teniendo en cuenta que esta amenaza se distribuye mediante correos electrónicos que contienen archivos comprimidos maliciosos adjuntos, ESET comparte distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:
• Revisar el correo electrónico, prestando atención a:
- La dirección de donde proviene.
- El nombre de la persona que lo envía.
- El contenido del mensaje, buscando anomalías en la escritura.
• No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió.
• No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa.
• Si un email tiene un enlace y se duda de la página a la que se lo envía, no abrirlo.
• Ser prudentes al descargar y extraer archivos comprimidos .zip/.7z de fuentes no confiables, ya que suelen ser utilizados para ocultar códigos maliciosos y evadir ciertos mecanismos de seguridad.
• Tener los equipos y aplicaciones actualizados a la versión más reciente.
• Contar con soluciones de seguridad confiables en los dispositivos y mantenerlas actualizadas.
“Los cibercriminales demuestran con esta campaña un conocimiento sobre sus posibles víctimas, generando así engaños más creíbles y aumentando sus posibilidades de éxito. Hemos encontrado ciertas similitudes entre esta nueva campaña con otras que han sido documentadas en los últimos meses en la región, y en particular en Colombia. Esto nos hace pensar que se puede tratar del mismo grupo cibercriminal que está detrás de ambas campañas.”, señala Tavella de ESET.