comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Remtasu se disfraza de herramienta para robar cuentas de Facebook

  • 0 Respuestas
  • 1005 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado graphixx

  • *
  • Moderador
  • Mensajes: 1288
  • Actividad:
    28.33%
  • Reputación 18
  • Científico de BIG DATA
    • Ver Perfil
    • Sistemas y Controles
« en: Enero 20, 2016, 01:15:28 am »
Ya hace casi un año que advertimos de la propagación de Remtasu principalmente entre usuarios en Colombia, y lejos de disiminuir la propagación de esta amenaza hemos podido identificar diferentes campañas relacionadas con esta familia.

Las variantes de Win32/Remtasu.Y son las más propagadas en la región, principalmente en Colombia. Una de las últimas campañas estaba asociada con una falsa herramienta para supuestamente obtener contraseñas de cuentas de Facebook.

El cambio en la Ingeniería Social

Hasta el año pasado era usual encontrar campañas asociadas con entidades reconocidas como la DIAN, Avianca o Falabella en archivos adjuntos de correos electrónicos con nombres relacionados con cuentas de cobro o facturas y escondiéndose en lo que parecen ser archivos de la suite de ofimática de Microsoft.

Si bien este tipo de campañas se sigue presentando, nos encontramos con nuevas campañas que utilizan otros mecanismos de Ingeniería Social, como por ejemplo Facebook y el eterno deseo de muchos usuarios de poder tomar el control alguna cuenta de esta famosa red social.


Si bien estos archivos corresponden a la misma familia de casos vistos el año anterior, su medio de propagación varía. Ya no encontramos la propagación a través de correos electrónicos, sino ensitios de descarga directa. Por lo tanto una vez que el usuario descarga y ejecuta el archivo verá su información comprometida.

Diferentes medios de propagación, comportamientos similares

Una de las muestras que llegó al Laboratorio de Investigación de ESET Latinoamérica está asociada precisamente con este tipo de campañas. Como característica particular nos encontramos con que está empaquetada utilizando UPX.



Con el archivo desempaquetado, podemos darle una mirada a las funciones implementadas en el código malicioso que nos dan una idea del alcance que tienen este tipo de campañas.


Por ejemplo, esta variante tiene la particularidad de abrir y obtener la información que tenga el usuario en el portapapeles. Además de poder a estos datos, el código malicioso puede capturar los eventos de teclado y almacenar toda la información en un archivo para luego ser enviado a un servidor FTP, como se puede observar por las librerías importadas.

Como es de esperarse en este tipo de campañas, la amenaza siempre busca un mecanismo depersistencia de forma que pueda quedar en la máquina por más de que la víctima reinicie el equipo o trate de buscar la amenaza en el listado de procesos activos.

En este caso el malware genera una copia de sí mismo y la guarda en una carpeta que también crea dentro de la carpeta system32. La nueva carpeta InstallDir queda oculta dentro los archivos del sistema, por lo tanto el usuario no podrá accederla fácilmente.


La copia del código malicioso queda con un nombre que puede generarle confusión al usuario, incluso si va a buscar información en Internet. A diferencia de campañas pasadas, donde el nombre del archivo tenía semejanza con procesos de sistema como por ejemplo csrss.exe, en este caso el nombre utilizado es bastante genérico; esto deja la duda de si corresponde a un proceso legítimo o se trata de un proceso malicioso.

Win32/Remtasu en lo que va de 2016

Es importante destacar que en estas dos primeras semanas del año hemos encontrado que se propagan 24 variantes diferentes de esta familia de códigos maliciosos, siendo Win32/Remtasu.Yla que tiene más de una cuarta parte de las detecciones, seguida de cerca por la varianteWin32/Remtasu.O con un 23% del total. Esto significa que cerca de la mitad de las detecciones de esta familia corresponde a dos variantes únicamente.


Como dato adicional, vale la pena mencionar que el 65% de las detecciones de la familiaWin32/Remtasu corresponde a usuarios que se encuentran en Colombia. El segundo país con mayor cantidad de detecciones es Tailandia con un 6% de las detecciones, pero principalmente de la variante Win32/AutoRun.Remtasu.E, es decir una diferente a las que se observan en el país suramericano. En tercer y cuarto lugar se encuentran México y Perú con un 3% y 2%, respectivamente, del total de detecciones.

Vale la pena recordar que si bien tener una solución de seguridad puede ayudar al detectar un contenido malicioso que se intente descargar, ser cuidadosos con dónde hacen clic siempre brindará una protección adicional para mantenerse protegidos.

Por nuestra parte, desde el Laboratorio de Investigación de ESET Latinoamérica seguiremos analizando estas campañas de propagación y otras similares para mantenerlos informados sobre las características de las amenazas que vemos en la región.

Fuente: noticiasseguridad.com
« Última modificación: Enero 20, 2016, 10:53:07 am por EPSILON »
No tienes permisos para ver links. Registrate o Entra con tu cuenta

 

¿Te gustó el post? COMPARTILO!



"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 1116
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 1427
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 1249
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
WhatsApp limita el reenvío de mensajes para combatir el "spam" y fake news

Iniciado por brut3F0rC3

Respuestas: 0
Vistas: 321
Último mensaje Julio 28, 2018, 12:04:00 am
por brut3F0rC3
Jefe de RRHH de Google es tajante:"El Título Universitario no sirve para nada"

Iniciado por graphixx

Respuestas: 0
Vistas: 1771
Último mensaje Enero 27, 2016, 03:18:51 pm
por graphixx