El objetivo de la campaña es infectar a las víctimas con el troyano DCRat, una variante de AsyncRAT, un software usado en varias campañas maliciosas de la región. La cadena de infección inicia con archivos comprimidos que utilizan nombres que aparentan ser comunicaciones judiciales o gubernamentales como, por ejemplo, “Informe Especial Notificado Nro. 113510000548595265844”, lo cual según ESET deja pensar que se trata de una propagación a través de correo electrónico.

Este método de propagación de archivos comprimidos con malware vía correos electrónicos –malspam– coincide con investigaciones previas de ESET en la región, que ha advertido acompañamiento con el uso de temáticas que generan temor o urgencia en la víctima para aumentar la probabilidad de que el destinatario ejecute el archivo malicioso.

Metadatos del binario analizado: la amenaza presenta sus campos de metadatos configurados para aparentar ser una aplicación de Adobe

“Al analizar lo metadatos, se observa que los mismos buscan aparentar ser de la aplicación Adobe pero no cuentan con una firma digital válida ni certificado asociado, lo cual confirma que no se trata de un binario legítimo emitido por la compañía”, comenta Martina López, Investigadora de Seguridad informática de ESET Latinoamérica.

DCRat, es uno de los tantos forks existentes de AsyncRAT y uno de los más propagados mundialmente. DCRat incluye las funcionalidades típicas de un troyano de acceso remoto, entre las que se destacan:

• Captura de pantalla y webcam
• Registro de teclas (keylogger)
• Administración de archivos y procesos
• Ejecución remota de comandos (CMD/PowerShell)
• Carga y descarga de archivos
• Acceso a credenciales almacenadas (browsers, sistemas)
• Persistencia mediante modificaciones en el registro o carpetas de inicio
• Autoactualización del binario
• Plugins adicionales descargables desde el servidor de Comando y Control

Inicialmente, el código malicioso envía información básica del sistema al servidor C&C, que funciona tanto para identificar a la víctima como para la toma de decisiones por parte de los atacantes sobre ejecución de otras amenazas en el sistema.

Función del payload que recopila la información identificadora de la víctima. Así es como DCRat envía la información básica de la víctima hacia el servidor C&C

“Más allá de modificaciones estructurales, entre las ´mejoras´ -por así decirlo- más destacables que presenta DCRat con respecto a AsyncRAT es el robustecimiento de las capacidades anti-análisis. Esto se refleja en, por ejemplo, la inclusión de una función que aborta la ejecución de la amenaza si encuentra procesos relacionados con análisis dinámico de malware o de monitoreo del sistema. DCRat también implementa otras técnicas de evasión como la desactivación de componentes AMSI así como ETW patching, que funcionan desactivando las funciones de seguridad que detectan y registran comportamientos maliciosos”, complementa López de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

“Ya sea que se trate de phishing, spam o malspam, siempre es necesario que como usuarios seamos cuidadosos con dónde hacemos clic, ya que se nos podría estar dirigiendo a sitios que busquen robar nuestra información personal o incluso descargar algún tipo de contenido malicioso a nuestra máquina”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

El phishing es una técnica que utiliza el cibercrimen para engañar a sus víctimas y que entreguen información confidencial, ya sean contraseñas, datos bancarios y personales. La metodología más común de phishing es hacerse pasar por organismos, bancos o empresas reconocidas y de confianza por correo electrónico o mensaje, para así tentar a la víctima a completar un formulario falso en el mensaje o adjunto a él y visitar una página web solicitando la entrada de los detalles de la cuenta o las credenciales de inicio de sesión.

Ejemplo de phishing que suplanta la identidad de VISA

En cuanto al spam, podemos decir que es el correo no deseado, o basura, en las bandejas de entrada de las casillas de correo. Enviado de forma masiva por un remitente desconocido, busca hacer publicidad de un producto o servicio. En varios países ya regulan el uso de este tipo de comunicaciones e imponen multas a las empresas que incumplan. Si bien es común que el spam se envíe en formato de texto o con contenido HTML, también lo hay vía mensajes instantáneos, SMS, redes sociales, llamadas telefónicas o correo de voz.

Por otro lado, se denomina malspam a las técnicas de envío masivo que utilizan los actores maliciosos para intentar infectar dispositivos a través de archivos o enlaces maliciosos adjuntos. Su nombre, en concreto, se debe a que se unen los conceptos de malware y spam; este tipo de correos suelen combinarse con técnicas de phishing ya que su objetivo es ganar la confianza de la víctima haciéndose pasar por una entidad conocida e inducirlo a entregar sus datos personales.

Diferencias esenciales y acciones para mantener los datos protegidos

Hay diferencias esenciales entre phishing y spam (y malspam) que hay que remarcar para saber en qué caso se trata de cada uno:

• Mientras que el spam busca anunciar un producto o servicio, el phishing sólo busca obtener información personal y financiera de sus víctimas. El malspam, en cambio, intenta infectar un dispositivo, y así tomar el control del equipo.
• El phishing suplanta la identidad de una empresa reconocida tratando de engañar a las personas, mientras que el spam puede venir de una empresa que realmente existe.
• En el caso del spam, por lo general redirige a sitios donde se puede adquirir el producto o servicio anunciado. En cambio, con las campañas de phishing, busca robar información personal. El malspam, a su vez, contiene archivos maliciosos (PDF, Word, Excel, Zip) o incluye links a sitios falsos o maliciosos.
• Los sitios a los cuales redirigen las campañas de spam se encuentran por lo general en servicios gratuitos de alojamiento, mientras que los sitios de phishing se suelen alojar en sitios web legítimos que son vulnerables o en aquellos falsos creados por los propios cibercriminales.
• Las campañas de spam suelen extenderse a foros, buscadores y diversos servicios gratuitos en Internet. En cambio, el phishing suele estar más enfocado en usuarios de un determinado país o región.

Desde ESET se comparten y recomiendan distintas acciones para mantener los datos protegidos. En principio no compartir indiscriminadamente la dirección de correo en sitios webs, y crear una dirección de correo electrónico desechable para recibir newsletters o suscripciones.

Además, en el caso de recibir un mail de un remitente conocido sin previo aviso y con un enlace sospechoso o un archivo descargable, se aconseja consultar a esa persona de manera directa antes de abrirlo. Por otro lado, si el mensaje proviene de una entidad bancaria o una marca reconocida, verificar en los canales oficiales de esa entidad que se trata de algo legítimo. Una regla de oro es que los organismos oficiales nunca piden datos personales, ni envían formularios online, ni archivos para descargar.

Por último desde ESET, advierten desconfiar de toda aquella oferta o promoción que sea demasiado buena para ser verdad e implementar una solución de seguridad, cuyo software antispam evite y/o bloquee la apertura o recepción de correos electrónicos no deseados o no solicitados. Por ejemplo, en el caso de ESET Home Security, la solución bloquea sitios web y correos electrónicos sospechosos y su función antiphishing bloquea las páginas que intentan adquirir datos personales para evitar el robo de identidad y el uso indebido de la información, mientras que brinda protección proactiva contra todo tipo de malware, incluidos virus, troyanos, gusanos y spyware.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros datos preventivos está igualmente disponible: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos