El uso de mensajes de correo electrónico por parte de los delincuentes haciéndose pasar por administraciones públicas para intentar engañarnos no es algo nuevo. Es por eso que seguimos recibiendo este tipo de mensajes cada cierto tiempo en la bandeja de entrada de nuestro Laboratorio de Investigación, los cuales suelen pasar sin pena ni gloria puesto que no suelen incorporar ninguna novedad y siguen utilizando técnicas conocidas desde hace años.

No obstante, en ocasiones, uno de estos correos nos sorprende y encontramos algo como esto:

correo-hacienda-salvadorA simple vista parece un nuevo caso de phishing que utiliza el nombre de una administración pública como el de la Hacienda de El Salvador para conseguir que la gente pulse sobre un enlace malicioso. Esta entidad fue utilizada como gancho para atraer víctimas hace apenas dos meses, con un falso correo que propagaba un troyano y terminaba robando las credenciales de los usuarios.

Si bien el código malicioso que se descarga es el mismo -detectado por las soluciones de seguridad de ESET como Win32/AutoRun.Remtasu.E, a diferencia de casos anteriores, en lugar de utilizarse una web comprometida o controlada por los delincuentes, el enlace apunta a un archivo alojado en Mega tal y como vemos a continuación:

mega_file
Claro que a todos nos impone respeto recibir un correo de la Agencia Tributaria un una supuesta multa de tráfico y muchas veces actuamos sin pensar tan solo queriendo solucionar el problema lo antes posible, pero es importante que siempre estemos alerta a este tipo de correos gubernamentales.

Prosiguiendo con el análisis, una vez hemos descargado el archivo vemos que tiene un nombre extenso y que se intenta ocultar el tipo de fichero del que se trata, comprimiéndolo primero en formato RAR y asignándole el ícono de un documento PDF cuando lo descomprimimos en nuestro sistema. Si utilizamos Windows, así veremos el fichero cuando lo descomprimamos:

fichero_windows
Engañoso, ¿verdad?. No son pocos los usuarios que pulsarán sobre este fichero malicioso confiando en que se trata de un documento PDF inofensivo, tanto por el ícono como por la falsa extensión, sin observar que Windows lo reconoce en realidad como un protector de pantalla. De hecho, al analizar este fichero en un GNU/Linux observamos cómo el sistema reconoce que se trata de un archivo ejecutable por mucho que se trate de ocultar la extensión real por otra:

descarga_linux
Todo este esfuerzo para confundir al usuario con la extensión del fichero se realiza empleando una técnica conocida desde hace años y que hace que algunos exploradores de ficheros no lleguen a interpretar correctamente la extensión del archivo. De hecho, si tratamos de abrir este fichero malicioso para analizarlo con un editor hexadecimal podemos observar cómo el nombre real contiene la extensión .SCR (el protector de pantalla que nos detectaba Windows), mientras que inmediatamente antes vemos las letras PDF escritas del revés:

nombre_falso
Esta técnica lleva usándose durante algunos años por los delincuentes para hacer creer a los usuarios que están abriendo ficheros que no son lo que parecen. Se aprovechan de una característica especial del conjunto de caracteres Unicode para invertir la dirección de lectura de algunos caracteres en el nombre de un fichero, ocultando la extensión maliciosa de la vista del usuario y colocando otra extensión aparentemente inofensiva.

Con respecto al fichero malicioso, al ser un archivo con extensión .SCR, permite la ejecución de código en el sistema como si de un ejecutable normal se tratase, técnica que ya ha sido utilizada por otros códigos maliciosos en anteriores ocasiones.

Un rápido análisis de esta variante de Remtasu utilizando Virustotal nos aportará información interesante acerca de cuándo fue generado y los diferentes nombres de fichero que se han ido utilizando:

virustotal-remtasu
El uso de este tipo de técnicas para hacer que los usuarios descarguen y pulsen sobre un archivo malicioso se basan en la confianza más que en la complejidad. En este caso no se ha aprovechado ninguna vulnerabilidad. Más bien, los delincuentes intentan ganarse la confianza utilizando el nombre de una entidad con buena reputación como es la Hacienda salvadoreña y luego haciendo creer que se está abriendo un tipo de fichero que la mayoría de usuarios no asocian con el malware.

Para evitar caer en este tipo de trampas e infectar nuestro sistema, el primer paso es desconfiar de este tipo de notificaciones por correo electrónico. Seguidamente, revisar el enlace que se nos proporciona (una administración pública nunca utilizaría Mega para almacenar este tipo de ficheros) y, por último, asegurarnos de que el fichero es lo que dice ser guiándonos no sólo por el icono del mismo, sino también por su extensión y por cómo lo identifica el sistema.

Este post nos llega de la mano de Ontinet, Distribuidor de ESET en España