El Laboratorio de investigación de ESET Latinoamérica ha identificado más correos maliciosos que se propagan en México. Como en casos anteriores, se suplanta la identidad de instituciones del país, como hemos visto con la Comisión Federal de Electricidad (CFE) o el Servicio de Administración Tributaria (SAT). En esta ocasión la entidad afectada es la Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR).

Nuevamente, a través de correos electrónicos fraudulentos que hacen alusión a un supuesto cambio de institución para la administración de los fondos para el retiro de los trabajadores, se insta a los usuarios a descargar un archivo de Internet llamado “CONSAR_Documento.doc”, como se muestra a continuación:

consar1

Una vez que el documento es descargado, siguiendo el mismo método de operación que en los casos anteriores, se indica al usuario la habilitación de las macros de Microsoft Word, ya que este código malicioso opera a partir de Visual Basic for Applications (VBA). Se trata de una muestra de malware identificada por las soluciones de seguridad de ESET como VBA/TrojanDownloader.Agent.BGW.

consar2

Como su nombre lo indica, su función es descargar una segunda muestra de malware desde un sitio de Internet. Al analizar el código de la macro, identificamos las direcciones URL desde las cuales se descarga el otro código malicioso, así como las instrucciones para la ejecución del mismo en el sistema de la potencial víctima:

consar3

El segundo archivo se llama “logo.gif”, aunque lejos de ser un archivo en formato GIF, se trata de un archivo ejecutable (.EXE) identificado por las soluciones de seguridad de ESET como Neurevt.I. Entre otras funciones, buscar obtener información confidencial de los usuarios, como contraseñas, así como información del sistema infectado.

Este código malicioso ha tenido actividad importante en los últimos meses, a partir de campañas de propagación e infección enfocadas al público mexicano. Desde septiembre del año pasado comenzaron a registrarse las primeras y desde entonces la actividad ha sido constante.

La CONSAR ha emitido un comunicado al respecto para informar a los usuarios sobre el correo apócrifo y que en realidad se trata de una campaña ajena a la comisión, tal como lo hemos constatado desde el Laboratorio de análisis de ESET.

consar5

Como solemos expresar en WeLiveSecurity, es importante que los usuarios estén conscientes sobre los riegos asociados al uso de los servicios de Internet, donde continuamente se encuentra información fraudulenta que busca afectar los sistemas y obtener información de manera ilegítima.

Una de las vías más utilizadas para propagar códigos maliciosos continúan siendo los correos electrónicos, por lo que seguir buenas prácticas en el uso de esta importante herramienta, así como contar con una solución de seguridad contra malware, se han vuelto prácticamente una necesidad. Así, se pueden evitar este tipo de amenazas y otras que han tenido una importante proliferación, como el ransomware.

Sigue leyendo: 6 claves para reconocer correos falsos

Muestras revisadas:

CONSAR_Documento.doc (VBA/TrojanDownloader.Agent.BGW)

sha1: 1e96c673429d8142acc2bced0d443b101012f9cb

logo.gif (Neurevt.I)

sha1: aaec8d96746928915becfedd9c6906ca8cbe1606