Campaña que propaga código malicioso se focaliza en México
Utilizando el nombre del SAT o la CFE los ciberdelincuentes intentan engañar a los mexicanos
Las cibermanezas que se detectan en Latinoamérica no siempre provienen de Europa del este o de Rusia. Han comenzado a localizarse campañas focalizadas para los países de la región, lo cual hace pensar a los especialistas en seguridad informática que son originadas en la zona.
Como ejemplo, desde 2015 se detectó que en México se propaga una campaña de infección enfocada solo al territorio y no a otro país de Latinoamérica. Se trata de Neurevt: un código malicioso que se transmite vía correo electrónico con tácticas de ingeniería social, es decir, se suplanta la identidad de organizaciones como el SAT o la CFE mediante un correo para que los mexicanos den clic en el enlace que descarga un archivo infectado.
Miguel Ángel Mendoza, analista de seguridad en ESET Latinoamérica, expuso que Neurevt, código malicioso también conocido como beta bot, es un troyano que funciona como una puerta trasera que permite al atacante conectarse al sistema una vez que lo ha infectado. “Utiliza unas técnicas que generalmente son vistas en los rootkits y permiten al atacante obtener más privilegios dentro del sistema, es decir, pasar desapercibido, a diferencia del ransomware que es muy evidente. También permiten al ciberdelin- cuente mantener el acceso de manera constante a dicho equipo y controlarlo”.
De acuerdo con los análisis realizados por ESET, este malware tiene el propósito de robar información sensible del equipo infectado y de los usuarios que lo utilizan. Funciona como un bot, es decir, un programa que se dedica a enviar instrucciones con el objetivo de que el sistema infectado lo ejecute para que el hacker pueda segui controlándolo remotamente.
“Este código malicioso se caracteriza porque roba información como el nombre, contraseñas de distintos servicios de aplicaciones y usuarios de cuentas FTP (Protocolo de Transferencia de Ficheros, por sus siglas en inglés), así como la identificación del sistema operativo”, advirtió el especialista de ESET.
Añadió que otra de sus particularidades es que permite descargar y ejecutar códigos maliciosos y otros programas en el sistema. “Esto significa que une al equipo dentro de una red de bots, así puede utilizar a los dispositivos infectados para un ataque de denegación de servicios pues, al tener control de un sinnúmero de máquinas, puede hacer solicitudes a sitios web”, explicó el especialista.
Neurevt apareció en 2013, pero fue hasta 2015 cuando se detectó en México debido a que un integrante del equipo de ESET recibió un correo donde le informaban de un supuesto adeudo e incluía un link para descargar un archivo. Al analizarlo se percataron de que era un engaño y que el correo propagaba el malware; además detectaron que México es el único en Latinoamérica que aparece dentro de los 13 países más afectados en el mundo. En el 2016 Neurevt tenía a nivel mundial 27% de detecciones en México. Para 2017 incrementó a 33% y nuevamente no aparecía otro país de la región. Por lo que, una de cada tres detecciones en el mundo se llevó a cabo en nuestro país.
“Sabemos que se trata de una campaña completamente focalizada a la que se le agregan nuevas características con el propósito de que más usuarios sean afectados. Hemos visto que México sigue siendo el foco de Neurevt, utilizando el macromalware como principal vía de propagación e infección y técnicas de ingeniería social aplicadas a campañas de suplantación de identidad de organizaciones gubernamentales”, concluyó Miguel Ángel Mendoza.