{"id":74,"date":"2015-11-04T02:04:26","date_gmt":"2015-11-04T02:04:26","guid":{"rendered":"http:\/\/blog.alvarconsultores.com.uy\/?p=74"},"modified":"2015-11-04T02:04:26","modified_gmt":"2015-11-04T02:04:26","slug":"el-troyano-remtasu-vuela-por-tierras-colombianas","status":"publish","type":"post","link":"https:\/\/blog.alvarconsultores.com.uy\/?p=74","title":{"rendered":"El troyano Remtasu vuela por tierras colombianas."},"content":{"rendered":"

\"Sin<\/a><\/p>\n

Remtasu es un troyano que est\u00e1 presente en varios pa\u00edses del mundo, pero por estas horas ha tenido un fuerte repunte en el pa\u00eds colombiano, esta no es la primera vez que se oyen incidencias de Remtasu, a comienzos de a\u00f1o, m\u00e1s exactamente en febrero, ya hubo una primera campa\u00f1a de propagaci\u00f3n en Colombia. El equipo de investigaci\u00f3n de ESET Latinoam\u00e9rica pudo detectar una nueva campa\u00f1a\u00a0 maliciosa del troyano que est\u00e1 atacando principalmente a los usuarios residentes en Colombia.<\/p>\n

El troyano Remtasu es una familia de troyanos especializada en el robo de informaci\u00f3n sensible del equipo de la v\u00edctima, por ejemplo datos que se almacenan en el portapapeles, o mediante lo que se digita en el teclado a modo de keylogger. Toda la informaci\u00f3n recogida dentro del equipo de la v\u00edctima infectada es guardada en un archivo en el mismo equipo, y luego se env\u00eda (sin que el usuario se percate) a los cibercriminales de forma remota. Si bien el troyano tiene su punto fuerte en Colombia, es posible que se expanda a otros pa\u00edses de Latinoam\u00e9rica, por lo tanto hay que estar alertas y saber c\u00f3mo opera Remtasu.<\/p>\n

Los investigadores de ESET explican que los c\u00f3digos maliciosos que se pudieron detectar contienen archivos adjuntos en correos electr\u00f3nicos con nombres relacionados con cuentas de cobro o facturas, dichos archivos se camuflan como un archivo de Microsoft Word. Una vez que la v\u00edctima ejecuta estos archivos que llevan de nombre \u201cFactura + una serie de n\u00fameros al azar\u201d, empezar\u00e1 a ejecutarse en segundo plano el plan de los cibercriminales para robar informaci\u00f3n, su primer paso ser\u00e1 conectarse con un servidor remoto.<\/p>\n

Como pasa en muchos casos, este tipo de amenazas tiene sus servidores de comando y control en otra parte del mundo, pero no es el caso de Remtasu, por lo que pudieron detectar los investigadores el servidor de comando se ubica en Colombia. \u00bfAlgo muy arriesgado? Los cibercriminales tendr\u00e1n sus motivos, pero se piensa que se trata de un ataque dirigido.<\/p>\n

Ahora bien, \u00bfc\u00f3mo hace el troyano para evadir la seguridad? La respuesta es f\u00e1cil y muestra el nivel de desarrollo que posee Remtasu, una vez que el usuario ejecuta el archivo, este se inyecta en dos procesos para mantenerse en el sistema operativo sin llamar la atenci\u00f3n. Uno de los procesos es el del navegador Firefox que se estaba utilizando, y otro es un proceso de Windows llamado svchost, de esta manera el troyano se asegura de no crear un nuevo proceso y que el sistema pueda sospechar de su contenido. Otra de sus caracter\u00edsticas es su capacidad de guardarse a s\u00ed mismo, Remtasu es capaz de crear una copia en la carpeta del sistema y modifica algunas keys en el registro de Windows para asegurarse de que se ejecuta cada vez que se inicia el equipo.<\/p>\n

Y esto no queda aqu\u00ed, la amenaza quiere asegurarse de que su sigilo sea el mejor de todos, por ese motivo modifica los permisos de la carpeta system32 para que quede como oculta y el usuario no pueda acceder a ella en primera instancia. Como si fuera poco, el archivo csrrs.exe que se ejecuta durante la infecci\u00f3n y se inicia junto con el equipo tiene el mismo MD5 que el archivo de nombre Factura, que ven\u00eda adjunto en el correo electr\u00f3nico infectado y tambi\u00e9n queda oculto dentro de la carpeta para que no sea descubierto.<\/p>\n

Desde ESET explican por qu\u00e9 la amenaza ejecuta dos procesos a la misma vez, se debe a la forma con la que interact\u00faa en el sistema, el proceso que se vincula con el navegador Firefox tiene como tarea mantener las comunicaciones con el servidor controlado por los cibercriminales, y el proceso svchost de Windows hace que la amenaza siga activa durante la sesi\u00f3n del usuario.<\/p>\n

En el mes de octubre Remtasu se distribuy\u00f3 por 114 pa\u00edses y hubo una clara tendencia que m\u00e1s de la mitad de los afectados eran colombianos. Si se compara con el primer empuje de esta campa\u00f1a, all\u00e1 por febrero, se lleg\u00f3 a registrar cifras de un 30% de usuarios colombianos, un 20% menos que en octubre, eso quiere decir que el rango de infecci\u00f3n ahora es a\u00fan mayor. Hay m\u00e1s pa\u00edses de Latinoam\u00e9rica que tienen esta y otras variantes de Remtasu, pero es Colombia la que se lleva los principales puestos como el pa\u00eds con m\u00e1s infecciones de la variante Win32\/Remtasu.Y.<\/p>\n

ESET advierte que la amenaza ya ha sido propagada mediante falsos correos electr\u00f3nicos gubernamentales en El Salvador y durante el mes de octubre se detectaron casos en Argentina, Brasil, Per\u00fa, Ecuador, M\u00e9xico y Guatemala, entre otros.<\/p>\n

\u00bfC\u00f3mo evitar ser v\u00edctima de Remtasu? Manteniendo tu producto antivirus actualizado y teniendo cuidado de d\u00f3nde se hace click, y mucho m\u00e1s en qu\u00e9 tipo de archivo descargamos en el equipo. Recuerda que nunca debes abrir un correo electr\u00f3nico del que desconoces su remitente.<\/p>\n

\n","protected":false},"excerpt":{"rendered":"

Remtasu es un troyano que est\u00e1 presente en varios pa\u00edses del mundo, pero por estas horas ha tenido un fuerte repunte en el pa\u00eds colombiano, esta no es la primera vez que se oyen incidencias de Remtasu, a comienzos de a\u00f1o, m\u00e1s exactamente en febrero, ya hubo una primera campa\u00f1a de propagaci\u00f3n en Colombia. El […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-74","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/74","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=74"}],"version-history":[{"count":1,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/74\/revisions"}],"predecessor-version":[{"id":76,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/74\/revisions\/76"}],"wp:attachment":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=74"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=74"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=74"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}