Remtasu se disfraza de herramienta para robar cuentas de Facebook

Las variantes de Win32/Remtasu.Y son las más propagadas en la región, principalmente en Colombia. Una de las últimas campañas estaba asociada con una falsa herramienta para supuestamente obtener contraseñas de cuentas de Facebook.

El cambio en la Ingeniería Social

Hasta el año pasado era usual encontrar campañas asociadas con entidades reconocidas como la DIAN, Avianca o Falabella en archivos adjuntos de correos electrónicos con nombres relacionados con cuentas de cobro o facturas y escondiéndose en lo que parecen ser archivos de la suite de ofimática de Microsoft.

Si bien este tipo de campañas se sigue presentando, nos encontramos con nuevas campañas que utilizan otros mecanismos de Ingeniería Social, como por ejemplo Facebook y el eterno deseo de muchos usuarios de poder tomar el control alguna cuenta de esta famosa red social.

Si bien estos archivos corresponden a la misma familia de casos vistos el año anterior, su medio de propagación varía. Ya no encontramos la propagación a través de correos electrónicos, sino en sitios de descarga directa. Por lo tanto una vez que el usuario descarga y ejecuta el archivo verá su información comprometida.

Diferentes medios de propagación, comportamientos similares

Una de las muestras que llegó al Laboratorio de Investigación de ESET Latinoamérica está asociada precisamente con este tipo de campañas. Como característica particular nos encontramos con que está empaquetada utilizando UPX.

Con el archivo desempaquetado, podemos darle una mirada a las funciones implementadas en el código malicioso que nos dan una idea del alcance que tienen este tipo de campañas.

Por ejemplo, esta variante tiene la particularidad de abrir y obtener la información que tenga el usuario en el portapapeles. Además de poder a estos datos, el código malicioso puede capturar los eventos de teclado y almacenar toda la información en un archivo para luego ser enviado a un servidor FTP, como se puede observar por las librerías importadas.

Como es de esperarse en este tipo de campañas, la amenaza siempre busca un mecanismo de persistencia de forma que pueda quedar en la máquina por más de que la víctima reinicie el equipo o trate de buscar la amenaza en el listado de procesos activos.

En este caso el malware genera una copia de sí mismo y la guarda en una carpeta que también crea dentro de la carpeta system32. La nueva carpeta InstallDir queda oculta dentro los archivos del sistema, por lo tanto el usuario no podrá accederla fácilmente.

La copia del código malicioso queda con un nombre que puede generarle confusión al usuario, incluso si va a buscar información en Internet. A diferencia de campañas pasadas, donde el nombre del archivo tenía semejanza con procesos de sistema como por ejemplo csrss.exe, en este caso el nombre utilizado es bastante genérico; esto deja la duda de si corresponde a un proceso legítimo o se trata de un proceso malicioso.

Win32/Remtasu en lo que va de 2016

Como dato adicional, vale la pena mencionar que el 65% de las detecciones de la familia Win32/Remtasu corresponde a usuarios que se encuentran en Colombia. El segundo país con mayor cantidad de detecciones es Tailandia con un 6% de las detecciones, pero principalmente de la variante Win32/AutoRun.Remtasu.E, es decir una diferente a las que se observan en el país suramericano. En tercer y cuarto lugar se encuentran México y Perú con un 3% y 2%, respectivamente, del total de detecciones.

Vale la pena recordar que si bien tener una solución de seguridad puede ayudar al detectar un contenido malicioso que se intente descargar, ser cuidadosos con dónde hacen clic siempre brindará una protección adicional para mantenerse protegidos.

Por nuestra parte, desde el Laboratorio de Investigación de ESET Latinoamérica seguiremos analizando estas campañas de propagación y otras similares para mantenerlos informados sobre las características de las amenazas que vemos en la región.

#hacker #facebook #robodeidentidad