Propagación de macro malware en México usando a la CFE y una supuesta deuda

Share this…

Recibimos una notificación en el Laboratorio de Investigación de ESET Latinoamérica sobre un correo electrónico fraudulento que circula en Internet. Se trata de una campaña de propagación de malware que busca engañar a usuarios mexicanos.

Como en campañas vistas con anterioridad, se trata de correos electrónicos que pretenden diseminar códigos maliciosos a través de macros de Word, en las cuales ya se ha utilizado el nombre e imagen de instituciones reconocidas como bancos, aerolíneas o empresas de telefonía.

En esta ocasión, el mensaje hace alusión a una supuesta deuda de los usuarios con la Comisión Federal de Electricidad (CFE), empresa del Estado encargada de generar y comercializar la energía eléctrica en el territorio mexicano. En el correo se insta al destinatario a revisar un documento para evitar posibles sanciones.

El usuario tiene la opción de descargar el documento en dos formatos distintos, aunque ambos enlaces apuntan a un mismo archivo en formato de Word. Una vez que el usuario da clic sobre algunos de los enlaces, descarga el documento “CFE_Factura.doc”. Se trata de un código malicioso del tipo VBA/TrojanDownloader, ya que permite descargar otro malware.

La dirección de correo electrónico es de un dominio de México y aparentemente se trata de una cuenta oficial, por lo que en ocasiones, éstas pueden estar comprometidas previamente y ser utilizadas, como en este caso, para propagar malware.

La siguiente captura muestra el mensaje en cuestión:

CFE_1B

Como se ha observado en campañas similares, el documento de Word sugiere al usuario habilitar las macros (que por defecto se encuentran deshabitadas como medida de seguridad), con el propósito de engañarlo y asegurar la descarga efectiva de un segundo programa malicioso:

CFE_2

Luego de que la macro es extraída, muestra información sobre distintos temas generales utilizados para intentar información relevante sobre la carga efectiva de malware. El texto incluye una URL con dominio en México desde la cual es descargado el payload, llamado “word.exe”. Este último programa malicioso es detectado por las soluciones de seguridad de ESET comoWin32/Neuvret.I.

CFE_3

CFE_4B

Neurevt es un programa malicioso que tiene como propósito principal obtener contraseñas e información sensible de los usuarios que han sido víctimas. En el último mes ha tenido actividad importante en México y como observamos en el siguiente reporte de ESET Live Grid®, se trata de una clara campaña enfocada al público mexicano:

CFE_5

Sin embargo, como sucede en estos casos, el vector de propagación son los mensajes de correo electrónico que incluyen enlaces para descargar el programa malicioso; por lo tanto, hacemos hincapié en verificar los remitentes de dichos mensajes, aunque esto tampoco es un garantía ya que la cuenta de correo de un contacto de confianza pudo hacer sido comprometida.

Por lo tanto, siempre es recomendable desconfiar de este tipo de mensajes intimidatorios o aquellos que suenan demasiado buenos para ser verdaderos, evitando en la medida de lo posible acceder a enlaces desconocidos o descargar este tipo archivos de Internet. En la mayoría de los casos, cuando se trata de un correo legítimo suele estar personalizado y en muchas ocasiones son correos que han sido solicitados con anterioridad.

Fuente:https://www.welivesecurity.com/