¡Atención Colombia! Campaña maliciosa a través del correo simula ser de la Registraduría Nacional e infecta con un código que permite al atacante monitorear las acciones que realiza la víctima.
Durante el día de ayer recibimos un correo electrónico que suplantaba a la Registraduría Nacional colombiana, poniendo como excusa un supuesto incumplimiento a la citación para ser jurado de votación. Dado que en Colombia recientemente se celebraron comisios electorales, el engaño podría ser muy creíble para usuarios incautos.
Ejemplo de correo en nombre de la Registraduría Nacional colombiana.
En esta campaña el correo electrónico no trae un archivo adjunto, y lo que parecen ser archivos PDF al final del correo son en realidad imágenes que apuntan a un contenido externo que contiene los códigos maliciosos que van a comprometer el dispositivo del usuario. Ambos archivos están comprimidos y tienen doble extensión simulando ser PDF, pero realmente se trata de un archivo VBS y de un archivo ejecutable; ambos detectados por las soluciones de ESET como VBS/TrojanDropper y MSIL/Kryptik.ODO, respectivamente.
Desofuscando el archivo VBS
El archivo con extensión VBS, como ya es costumbre con este tipo de scripts tiene una capa de ofuscación con la cual se trata de ocultar la información del script:
Emulando la rutina de desofuscación en Python, podemos obtener el script de la amenaza:
De la imagen anterior se puede observar que se trata de una variante de una familia de códigos maliciosos que hemos visto desde hace algún tiempo afectando usuarios en países de LATAM: HoudRAT, también conocida como H-Worm.
Análisis dinámico de la amenaza
De la imagen anterior se puede observar que se trata de una variante de una familia de códigos maliciosos que hemos visto desde hace algún tiempo afectando usuarios en países de LATAM: HoudRAT, también conocida como H-Worm.Por otra parte, al analizar el archivo ejecutable y analizar el tráfico generado por la amenaza nos podemos dar cuenta de las intenciones del código malicioso. Inicialmente se contacta con el C&C para establecer la comunicación y luego empieza a enviar información de la máquina víctima como el nombre del PC y el sistema operativo.
Luego de esto, empieza a monitorear las acciones que realiza la víctima en el dispositivo, como por ejemplo las páginas a las que ingresa, para enviar toda esta información al atacante. El envío de esa información lo hace cifrándola en base64.
Hay que estar alertas
Esta campaña maliciosa nos marca nuevamente la importancia de estar alertas ante los posibles engaños que puedan seguir apareciendo. En el caso de Colombia, el periodo electoral abre las posibilidades para que los atacantes utilicen como excusa esta situación para seguir propagando sus amenazas.
Por otra parte, vale la pena destacar que esta campaña maliciosa llegó desde una cuenta de correo de una empresa y los archivos maliciosos estaban alojados en el servidor de la misma empresa, lo cual nos indica que si no se configuran adecuamente los servicios en las organizaciones pueden ser la puerta abierta para que un atacante los utilice de manera maliciosa. Como en este caso que utilizan los servidores de correo para propagar una amena. Así que el llamado a la atención, no es solamente para los usuarios
Además de lo anterior, entramos en una época en la cual eventos como el Mundial de fútbol atrae la atención de muchos usuarios, y por lo tanto puede ser la excusa indicada para que los cibercriminales traten de propagar sus códigos maliciosos. Así que a estar atentos, mantener actualizados sus aplicaciones y sistemas operativos, tener instalada una solución de seguridad y no bajar la guardia para evitar que información sensible caiga en manos equivocadas.
Referente:https://www.welivesecurity.com/la-es/2018/05/31/falso-correo-registraduria-espiar-usuarios-colombia/?utm_campaign=welivesecurity&utm_source=facebook&utm_medium=cpc
