Durante los últimos meses estuvo circulando en Colombia una campaña de malware que engañaba a los usuarios indicándoles que tenían una multa de tránsito pendiente de pago. Los correos simulaban provenir del Sistema Integrado de información sobre multas y sanciones por infracciones de tránsito (Simit) de este país y notificaban supuestas fotomultas a los conductores.
Para darle credibilidad al engaño, el mensaje generalmente incluía el número de placa del vehículo infractor o un enlace para ver dos fotos que, presuntamente, demostraban la infracción. Pero, en realidad, comienzan la descarga de malware.
Desde entonces seguimos recibiendo consultas de periodistas y usuarios en relación a esta campaña, que no parece detenerse. Por eso, el equipo de investigación de ESET Latinoamérica se dio a la tarea de analizar este caso para encontrar más información y comprender el trasfondo de la cuestión.
Según pudieron determinar los investigadores de ESET, el troyano Remtasu es la amenaza que está detrás de esta campaña, así como de varias otras en Colombia y también en otros países de la región. Las soluciones de ESET lo detectan como parte de la familia Win32/Remtasu y es un malware desarrollado para robar información sensible que esté almacenada en el portapapeles, o a través de la captura de los eventos del teclado con su funcionalidad de keylogger.
La información robada es almacenada en un archivo dentro de la máquina infectada, y luego es enviada a un equipo remoto del atacante utilizando el protocolo FTP. Desde 2015, Remtasu ha estado haciéndose notar en la región y sus engaños siempre hacen buen uso de la ingeniería social. Las variantes que más se propagan utilizan nombres de entidades y empresas conocidas, como Falabella o Avianca, y en este caso el Simit, o palabras que llaman la atención de sus víctimas: “multa”, “factura”, “importante”, “obligación”, entre otras.
La siguiente captura que habíamos publicado en 2015 muestra algunos de los archivos con los que se suele propagar Remtasu en correos electrónicos; si bien por los íconos parecen ser archivos multimedia o de texto, todos son ejecutables que, una vez abiertos, descargan e instalan la amenaza en el equipo de la víctima.
El cobro de multas y facturas pendientes de pago es, por lo tanto, uno de los señuelos habituales de Remtasu y la campaña actual de las fotomultas es un ejemplo más.
Los investigadores de ESET también descubrieron que, una vez que infectó al equipo, Remtasu lo convierte en un zombi, es decir, pasa a formar parte de una botnet controlada por el atacante. Los objetivos de esta red de equipos comprometidos pueden variar, pero las botnets generalmente se usan para enviar spam en forma masiva, distribuir malware, alojar contenido ilegal, minar criptomonedas o ejecutar ataques DDoS, todo lo cual es posible gracias al uso de todos esos recursos que pueden trabajar de manera conjunta y distribuida.
Si bien todavía no sabemos para qué se usa esta botnet, sí sabemos por los análisis anterioresque es altamente probable que sea administrada desde Colombia, porque allí está el servidor al que contacta la amenaza.
Podemos estar seguros de que Remtasu no se tomará un descanso en el futuro cercano y seguirá propagándose con nuevos pretextos. Por lo tanto, es importante que estés al tanto de su comportamiento para que, si recibes un correo de este tipo, no le hagas caso y observes con atención en busca de las señales de que es un engaño.
Además, contar con una solución de seguridad te evitará infectarte con estos tipos de malware que se esconden en adjuntos y muchos otros más, y por supuesto, recuerda pensar antes de hacer clicpara no caer en ninguna trampa y navegar seguro.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
