Hace algunos días, circuló por la web un correo dirigido a cientos de usuarios de El Salvador, que supone provenir del Ministerio de Hacienda. Este correo es falso, y engañaba a los usuarios para que se descargara un código malicioso capaz de robar sus usuarios, contraseñas e información.
El ataque se inició con la propagación de un mensaje en el que se podía observar cómo se intima al lector a descargar el documento para conocer cuál era su situación, acusándolo de evadir el pago de impuestos.
Si el usuario cae víctima del engaño, y descarga el adjunto, observará que el archivo simula ser un PDF pero en realidad se trata de un ejecutable, una variante del troyano Win32/Remtasu.
Este troyano es capaz de recolectar información del usuario para luego conectarse a un sitio remoto y enviar los datos del sistema, visitas a sitios web e incluso descargar otras amenazas.
Desde el Laboratorio de Investigación de ESET Lationoamérica, en conjunto con SIAT, distribuidor exclusivo de ESET para El Salvador, se siguió de cerca la propagación de esta amenaza y se realizaron análisis para conocer en profundidad cómo está compuesto el ataque, y garantizar así la protección de los usuarios.
El archivo original es en realidad un autoextraíble, que al lograr ejecutarse, descomprime su contenido en una carpeta temporal, para luego ejecutar su payload y lograr así comprometer la seguridad y privacidad de los usuarios. Al ejecutarlo y analizarlo dinámicamente se pudo observar cómo se descomprimen unos archivos de AutoIt con el fin de automatizar la descarga de otras amenazas.
Luego se conecta a un sitio vulnerado, en el cual se aloja otra variante de Win32/Remtasu, que en lugar de ser un autextraíble es directamente un archivo ejecutable, y es el encargado de quedar remanente en el sistema espiando al usuario.
Al igual que las otras variantes de esta familia, Remtasu almacena en un archivo en el disco local todas las teclas que el usuario presiona en su teclado, creando varios archivos en el sistema y ejecutándose en varios procesos.
Además, crea una conexión cifrada a un sitio remoto, a la cual envía la información que va capturando. De esta forma, le garantiza al atacante el control del sistema a través de un servidor IRC.
El foco de este ataque se basa en el uso de Ingeniería Social, y una vez que se ha comprometido la seguridad de un sistema, los atacantes cuentan con la capacidad de acceder a la información de las víctimas.
