ESET advirtió sobre una nueva campaña maliciosa que se ha propagado fuertemente en Argentina. El Laboratorio de Investigación de la compañía encontró miles de correos apócrifos con archivos adjuntos que están intentando infectar a la mayor cantidad de computadoras posibles dentro del país. El señuelo utilizado es un correo que, para un usuario desprevenido, podría parecer procedente de AFIP, la Administración Federal de Ingresos Públicos.
En el cuerpo del mensaje aparecen varias palabras llamativas para los usuarios como pueden ser: “impuestos”, “tarjetas de crédito”, “multas” y “cargos extra”. El correo fraudulento no está personalizado, sino que está dirigido a un usuario genérico (“Estimado contribuyente”). Según ESET, en la mayoría de los casos, esto es un claro indicador de que hay fines maliciosos.
La propia agencia publicó un comunicado alertando a los contribuyentes sobre correos como este: “La AFIP informa que el mail cuyo asunto es “Revise su estado de cuenta en uso de tarjetas de crédito” enviado desde la cuenta no–[email protected] NO pertenece al organismo”, indicó.
Dentro del correo se adjunta un archivo con el nombre “Estado de Cuenta.doc”. “Al ejecutar el archivo, los usuarios engañados que no cuenten con una solución de seguridad correctamente actualizada es probable que se infecten y pasen a formar parte de una botnet. Específicamente, este malware es conocido como Beta Bot y las soluciones de ESET lo detectan bajo la firma Win32/Neurevt.I.”, reveló Lucas Paus, especialista en seguridad informática de ESET Latinoamérica.
Este código malicioso tiene diversas funcionalidades manejadas remotamente por un botmaster o ciberdelincuente, que van desde el robo de información sensible y el minado de criptomonedas hasta el envío de spam, pasando por la geolocalización de víctimas y Denegaciones de Servicios Distribuidas (DDoS). Eset aclaró que durante el año pasado se detectaron varias campañas de códigos maliciosos escondidos en adjuntos de correos electrónicos, que aparentaban ser facturas o mensajes de organismos oficiales, afectando principalmente a México.
“Es evidente que las amenazas que vimos en México y otros países de la región norte de Latinoamérica empiezan a migrar hacia la Argentina. Por lo tanto, no sería ninguna sorpresa que comencemos a reportar otras campañas que se propaguen aprovechando el nombre o los sitios de otras entidades gubernamentales. A modo de prevención, podemos destacar el alcance que posee la educación de los usuarios como primera barrera y desde el punto de vista tecnológico, es importante tener una solución de seguridad actualizada y bien configurada que servirá para la detección temprana de amenazas. Para finalizar, el tercer pilar que no se debe olvidar es actualizar las aplicaciones y sistemas operativos, lo cual ayudará a evitar la explotación de vulnerabilidades en los equipos de potenciales víctimas”, agregó Paus.
Gracias por la respuesta Lucas
Luciano, el fin del exploit en el .doc era explotar la vulnerabilidad (CVE-2012-0158) para descargar un malware que podía ser una botnet (betabot) o un Ransomware. Ambas aplicaciones se ejecutan en Microsoft. La intención de los que desarrollan este tipo de estafa es un retorno económico, es decir comprometer información para luego hacer fraudes. Por eso, atacan mayormente a las plataformas mas utilizadas. Fijate que en el mundo de smartphones, la plataforma mas utilizada es Android, la cual como sabrás es muy similar a linux y paradojicamente es la que mayor cantidad de infecciones posee.
Varias soluciones de seguridad lo detectaron, al momento en que yo escribí la investigación unos 17/50 antivirus detectaban el exploit (para mi asombro no los mas conocidos) y otros tantos el malware que en la segunda etapa se descargaba (beta bot). Saludos Adrian.
“Mayormente utilizada” por usuarios hogareños, yo tenía la misma duda, si era solo un virus de Windows, ya que .doc se puede abrir en otros sistemas operativos, hubiese estado bueno que lo aclararan (aunque ahora que veo se llama “Win32/Neurevt.I.”), la intención del que desarrollo el virus no la podemos saber, pero si el usuario mas inexperto suele ser el que utiliza Windows también, así que son varios factores, y si bien la seguridad está fuertemente ligada a la responsabilidad y mantenimiento del usuario si pones a un mismo usuario usando Linux y Windows creo que todos sabemos cuál va a estar mas vulnerable ante algún potencial ataque.
Saludos
Sería interesante una nota que profundice el punto
“a plataforma Microsoft no porque sea mas o menos seguro, sino porque en realidad es la plataforma mayormente utilizada.”
Está claro que todos los sistema son vulnerables, pero me parece que dejarlo solo en ese punto no es correcto. hay muchos servidores Linux.
El único antivirus que lo detectó es ESET? Yo tngo Avast! y últimamente no me está convenciendo. Desde ya muchas gracias Lucas Paus por tomarte el tiempo de contestar personalmente nuestras consultas
La dirección proveniente del correo es muy fácilmente falsificable. De todos modos, es un detalle que la mayoría de la gente no se fijaría.
Todos los sistemas operativos son potencialmente vulnerables. La robustez a nivel de seguridad de cada uno, esta muy ligado proporcionalmente a la responsabilidad y mantenimiento de los usuarios. Este código malicioso funciona en la plataforma Microsoft no porque sea mas o menos seguro, sino porque en realidad es la plataforma mayormente utilizada.
no aclarar que sistema operativo es el más bulnerable,viendo que hay de android,windows,mac,linux,entre otros
Me acaba de llegar este email
Lo raro es que un dominio .email no existe
La misma afip debería denunciar y buscar a estos relucientes de la nube