A inicios de esta semana se comenzó a propagar en Centroamérica un correo falso que decía provenir de la Revista ITNow. A partir de los reportes recibidos por el Laboratorio de ESET, nos pusimos en contacto con los representantes de esta publicación, Grupo Cerca, para advertirles sobre esta situación y trabajar en conjunto para alertar a los lectores de la revista.

El correo reportado no era ni más ni menos que un engaño, que contenía un documento de Word malicioso que infecta los sistemas de los usuarios con el objetivo de filtrar información de sus sistemas y enviársela a los atacantes. En esta entrada les comentamos cómo es el ataque, de qué manera identificarlo y cómo prevenirse.

Detrás del engaño: cómo se esconde el malware dirigido a lectores de ITNow

El primer paso del ataque fue el envío de un correo falso a través de una técnica conocida como spoofing, similar a campañas reportadas anteriormente en Centroamérica. Cuando el mensaje ingresa a la bandeja de entrada del usuario se ve así:

Correo ITNOW

El correo dice provenir de una dirección de correo de la revista, pero no es más que un engaño para tratar de convencer a los usuarios que se trata de una encuesta. Sin embargo, el documento adjunto usa macros maliciosas para infectar los sistemas de las víctimas:

grupocerca

Si la posible víctima abre el documento se le informa que no puede ver su contenido, ya que las macros no estarían habilitadas (algo que es remarcado en varias ocasiones por los atacantes, dado que ese es su vector de propagación). Esta funcionalidad suele venir deshabilitada por defecto en Office como una medida de seguridad, por lo que no se recomienda a los usuarios habilitarlas. Sin embargo, si con la intención de participar del próximo Technology Day en Guatemala, el evento al que hace referencia el mensaje, el usuario decide habilitar las macros, se encontrará con que su sistema ha sido infectado.

Este documento es un código malicioso detectado por ESET como VBA/TrojanDropper.Agent.DU que tiene como objetivo instalar otras amenazas en el sistema para recopilar información de los usuarios. El contenido de las macros maliciosas ejecutará diferentes archivos ocultos en el documento de Word, que recopilan información del sistema.

Entre otros datos curiosos que se observan en el documento está el idioma, definido como Español de Guatemala, y otra información que se encuentra en los metadatos como la fecha de creación y modificación del contenido:

Metadatos documento

En esta última captura se puede observar que el documento original se creó el 29/09/2015 y se guardó por última vez el 03/12/2015, solo unos días antes de que comenzara su propagación. Luego de que el usuario habilite las macros, diferentes procesos se lanzarán en su sistema y se crearán diferentes archivos:

Procesos lanzados

El primer ejecutable que se lanza en el sistema dispara diferentes acciones. Esta segunda amenaza es detectada por las soluciones de ESET como BAT/PSW.Agent.CJ y se trata de un password stealer. Todos los archivos creados por esta segunda amenaza se crean dentro de la carpeta temporal %tempt%, con el nombre del sistema afectado más un número aleatorio:

Archivos creados

Cada uno de los archivos creados se genera con alguna de las herramientas que instala el malware en el sistema y recopilan cookies, contraseñas y otra información del sistema para luego enviarla a través del archivo pscp.exe, comprimiendo todas las carpetas en un .ZIP sin contraseña mediante el protocolo SSH.

En otras palabras, en un abrir y cerrar de ojos, todos los datos del sistema, passwords y cookies de Firefox, Chrome e Internet Explorer son enviados a los atacantes.

¿Cómo protegerse de esta campaña?

En casos como este es muy importante contar con una solución de seguridad proactiva en el sistema que detecte este tipo de amenazas protegiendo a las empresas y usuarios. Por otro lado, recuerden nunca habilitar las macros en documentos de dudosa procedencia ya que puede comprometer la seguridad de sus sistemas o toda la red corporativa.

Por último, queremos agradecer a nuestros compañeros de ESET Guatemala y a los colegas del Grupo Cerca, con quienes trabajamos en conjunto para investigar y obtener toda la información sobre la estructura de este ataque y así colaborar para proteger a los usuarios y las empresas.

Hashes:

SHA1 Nombre del archivo
A029F4493C10C64AA43C4573F1F1D55268A06051 ccv.exe
47D25A81297EE76F7C587485E7FDCA2188566AB5 runnerSinwpass.bat
3C030EA58EE71E4A21C55B33FB00DE6D91C4492B mzcv.exe
7076162C4EBB31CAD678771650105EA9563FD804 waYtobabdJBRwG.exe
D20AEB2CBD14060299E3ABF170A92366E25D6FA4 pscp.exe
55C5A72010291FCA2275CCFB5B497DD0BAC11A60 zip.exe
331E3EB22703EA5332FE91C25B3D1C731A58CD7D Grupo CERCA - IT Now - Encuesta 2016.doc

Sigue leyendo: Guía definitiva para identificar y protegerte de engaños en Internet