El troyano Remtasu vuela por tierras colombianas.

Sin títul333o

Remtasu es un troyano que está presente en varios países del mundo, pero por estas horas ha tenido un fuerte repunte en el país colombiano, esta no es la primera vez que se oyen incidencias de Remtasu, a comienzos de año, más exactamente en febrero, ya hubo una primera campaña de propagación en Colombia. El equipo de investigación de ESET Latinoamérica pudo detectar una nueva campaña  maliciosa del troyano que está atacando principalmente a los usuarios residentes en Colombia.

El troyano Remtasu es una familia de troyanos especializada en el robo de información sensible del equipo de la víctima, por ejemplo datos que se almacenan en el portapapeles, o mediante lo que se digita en el teclado a modo de keylogger. Toda la información recogida dentro del equipo de la víctima infectada es guardada en un archivo en el mismo equipo, y luego se envía (sin que el usuario se percate) a los cibercriminales de forma remota. Si bien el troyano tiene su punto fuerte en Colombia, es posible que se expanda a otros países de Latinoamérica, por lo tanto hay que estar alertas y saber cómo opera Remtasu.

Los investigadores de ESET explican que los códigos maliciosos que se pudieron detectar contienen archivos adjuntos en correos electrónicos con nombres relacionados con cuentas de cobro o facturas, dichos archivos se camuflan como un archivo de Microsoft Word. Una vez que la víctima ejecuta estos archivos que llevan de nombre “Factura + una serie de números al azar”, empezará a ejecutarse en segundo plano el plan de los cibercriminales para robar información, su primer paso será conectarse con un servidor remoto.

Como pasa en muchos casos, este tipo de amenazas tiene sus servidores de comando y control en otra parte del mundo, pero no es el caso de Remtasu, por lo que pudieron detectar los investigadores el servidor de comando se ubica en Colombia. ¿Algo muy arriesgado? Los cibercriminales tendrán sus motivos, pero se piensa que se trata de un ataque dirigido.

Ahora bien, ¿cómo hace el troyano para evadir la seguridad? La respuesta es fácil y muestra el nivel de desarrollo que posee Remtasu, una vez que el usuario ejecuta el archivo, este se inyecta en dos procesos para mantenerse en el sistema operativo sin llamar la atención. Uno de los procesos es el del navegador Firefox que se estaba utilizando, y otro es un proceso de Windows llamado svchost, de esta manera el troyano se asegura de no crear un nuevo proceso y que el sistema pueda sospechar de su contenido. Otra de sus características es su capacidad de guardarse a sí mismo, Remtasu es capaz de crear una copia en la carpeta del sistema y modifica algunas keys en el registro de Windows para asegurarse de que se ejecuta cada vez que se inicia el equipo.

Y esto no queda aquí, la amenaza quiere asegurarse de que su sigilo sea el mejor de todos, por ese motivo modifica los permisos de la carpeta system32 para que quede como oculta y el usuario no pueda acceder a ella en primera instancia. Como si fuera poco, el archivo csrrs.exe que se ejecuta durante la infección y se inicia junto con el equipo tiene el mismo MD5 que el archivo de nombre Factura, que venía adjunto en el correo electrónico infectado y también queda oculto dentro de la carpeta para que no sea descubierto.

Desde ESET explican por qué la amenaza ejecuta dos procesos a la misma vez, se debe a la forma con la que interactúa en el sistema, el proceso que se vincula con el navegador Firefox tiene como tarea mantener las comunicaciones con el servidor controlado por los cibercriminales, y el proceso svchost de Windows hace que la amenaza siga activa durante la sesión del usuario.

En el mes de octubre Remtasu se distribuyó por 114 países y hubo una clara tendencia que más de la mitad de los afectados eran colombianos. Si se compara con el primer empuje de esta campaña, allá por febrero, se llegó a registrar cifras de un 30% de usuarios colombianos, un 20% menos que en octubre, eso quiere decir que el rango de infección ahora es aún mayor. Hay más países de Latinoamérica que tienen esta y otras variantes de Remtasu, pero es Colombia la que se lleva los principales puestos como el país con más infecciones de la variante Win32/Remtasu.Y.

ESET advierte que la amenaza ya ha sido propagada mediante falsos correos electrónicos gubernamentales en El Salvador y durante el mes de octubre se detectaron casos en Argentina, Brasil, Perú, Ecuador, México y Guatemala, entre otros.

¿Cómo evitar ser víctima de Remtasu? Manteniendo tu producto antivirus actualizado y teniendo cuidado de dónde se hace click, y mucho más en qué tipo de archivo descargamos en el equipo. Recuerda que nunca debes abrir un correo electrónico del que desconoces su remitente.

Deja un comentario