Ya hace casi un año que advertimos de la propagación de Remtasu principalmente entre usuarios en Colombia, y lejos de disiminuir la propagación de esta amenaza hemos podido identificar diferentes campañas relacionadas con esta familia.
Las variantes de Win32/Remtasu.Y son las más propagadas en la región, principalmente en Colombia. Una de las últimas campañas estaba asociada con una falsa herramienta para supuestamente obtener contraseñas de cuentas de Facebook.
El cambio en la Ingeniería Social
Hasta el año pasado era usual encontrar campañas asociadas con entidades reconocidas como la DIAN, Avianca o Falabella en archivos adjuntos de correos electrónicos con nombres relacionados con cuentas de cobro o facturas y escondiéndose en lo que parecen ser archivos de la suite de ofimática de Microsoft.
Si bien este tipo de campañas se sigue presentando, nos encontramos con nuevas campañas que utilizan otros mecanismos de Ingeniería Social, como por ejemplo Facebook y el eterno deseo de muchos usuarios de poder tomar el control alguna cuenta de esta famosa red social.
Si bien estos archivos corresponden a la misma familia de casos vistos el año anterior, su medio de propagación varía. Ya no encontramos la propagación a través de correos electrónicos, sino en sitios de descarga directa. Por lo tanto una vez que el usuario descarga y ejecuta el archivo verá su información comprometida.
Diferentes medios de propagación, comportamientos similares
Una de las muestras que llegó al Laboratorio de Investigación de ESET Latinoamérica está asociada precisamente con este tipo de campañas. Como característica particular nos encontramos con que está empaquetada utilizando UPX.
Con el archivo desempaquetado, podemos darle una mirada a las funciones implementadas en el código malicioso que nos dan una idea del alcance que tienen este tipo de campañas.
Por ejemplo, esta variante tiene la particularidad de abrir y obtener la información que tenga el usuario en el portapapeles. Además de poder a estos datos, el código malicioso puede capturar los eventos de teclado y almacenar toda la información en un archivo para luego ser enviado a un servidor FTP, como se puede observar por las librerías importadas.
Como es de esperarse en este tipo de campañas, la amenaza siempre busca un mecanismo de persistencia de forma que pueda quedar en la máquina por más de que la víctima reinicie el equipo o trate de buscar la amenaza en el listado de procesos activos.
En este caso el malware genera una copia de sí mismo y la guarda en una carpeta que también crea dentro de la carpeta system32. La nueva carpeta InstallDir queda oculta dentro los archivos del sistema, por lo tanto el usuario no podrá accederla fácilmente.
La copia del código malicioso queda con un nombre que puede generarle confusión al usuario, incluso si va a buscar información en Internet. A diferencia de campañas pasadas, donde el nombre del archivo tenía semejanza con procesos de sistema como por ejemplo csrss.exe, en este caso el nombre utilizado es bastante genérico; esto deja la duda de si corresponde a un proceso legítimo o se trata de un proceso malicioso.
Win32/Remtasu en lo que va de 2016
Es importante destacar que en estas dos primeras semanas del año hemos encontrado que se propagan 24 variantes diferentes de esta familia de códigos maliciosos, siendo Win32/Remtasu.Y la que tiene más de una cuarta parte de las detecciones, seguida de cerca por la variante Win32/Remtasu.O con un 23% del total. Esto significa que cerca de la mitad de las detecciones de esta familia corresponde a dos variantes únicamente.
Como dato adicional, vale la pena mencionar que el 65% de las detecciones de la familia Win32/Remtasu corresponde a usuarios que se encuentran en Colombia. El segundo país con mayor cantidad de detecciones es Tailandia con un 6% de las detecciones, pero principalmente de la variante Win32/AutoRun.Remtasu.E, es decir una diferente a las que se observan en el país suramericano. En tercer y cuarto lugar se encuentran México y Perú con un 3% y 2%, respectivamente, del total de detecciones.
Vale la pena recordar que si bien tener una solución de seguridad puede ayudar al detectar un contenido malicioso que se intente descargar, ser cuidadosos con dónde hacen clic siempre brindará una protección adicional para mantenerse protegidos.
Por nuestra parte, desde el Laboratorio de Investigación de ESET Latinoamérica seguiremos analizando estas campañas de propagación y otras similares para mantenerlos informados sobre las características de las amenazas que vemos en la región.
Muestra analizada
SHA1 | Nombre del archivo | Detección |
03AA8D8BFDF54BF390B03D1886E34C71865592EA | hack facebook.exe | Win32/Remtasu.Y |