El 19 de diciembre algunos usuarios comenzaron a recibir un correo de suplantación de identidad que simula ser de la Tesorería General de la República (TGR), con el asunto “Última Alerta de Pago Pendiente”.
El e-mail asegura que el receptor tiene una deuda impaga en el SII y lo invita a regularizar su situación y a descargar un informe en un link. El correo es muy real e incluso llama a visitar la página de la TGR para mayor información.
Al hacer click en el enlace, se descarga un archivo .ZIP que si se abre, descarga un archivo con extensión .CPL. A su vez, si se ejecuta, descarga otro archivo malicioso .EXE, correspondiente al malware. Se trata específicamente de un spyware que, entre otras habilidades, lee los movimientos del mouse y se ejecuta desde el equipo.
Un archivo .CLP es una librería de enlace dinámico (o dll) que implementa una función especial con la que interactúa el Panel de Control de Microsoft Windows. Una dll es similar a un archivo ejecutable porque puede contener código, datos y recursos de una app; pero no puede ejecutarse por sí misma, sino que contiene un conjunto de funciones que son ejecutadas por otras app’s. Por ello, un archivo de extensión .CLP tampoco puede ejecutarse a sí mismo, pero sí puede ser ejecutado por el Panel de Control automáticamente. Esto es evidente cuando se hace doble click sobre una dll: no se ejecutará ninguna acción. Pero si se hace doble click en una CPL, el Panel ejecutará la app contenida en dicho archivo, lo que representa un riesgo potencial de ataques, por parte de ciberdelincuentes.
Evaluación de riesgos
El spyware detectado tiene las siguientes capacidades:
- Intercepta y registra los movimientos del mouse (lo que escribe o a qué link ingresa el usuario, entre otros)
- Crea un valor en el registro de autoejecución (persistencia)
- Consulta la información del kernel.
- Lee el nombre del computador activo, entre otra información del equipo
- Lee el GUID (identificador único global)-
- Implementa técnicas de anti virtualización (evasión)
- Lee el registro para artefactos específicos de VMWare.
En comportamiento de red, contiene dominios y hosts, donde procesa la información que roba para enviársela a un servidor externo (C&C).
Cabe destacar que el remitente del correo es Tesorería General de la República, pero llega desde distintos e-mails que se autogeneran, lo que hace muy difícil tomar acciones de mitigación tales como bloquear los sender o correos adjuntos, para evitar la infección.
Se recomienda realizar campañas comunicacionales permanentes dirigidas a los colaboradores de la organización afectada, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
Otras recomendaciones
- Configurar de manera más estricta el anti spam.
- Mantener la suite de MS Office actualizada con los últimos parches de seguridad.
- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Aplicar reglas exigentes para la creación de contraseñas.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
| Producto | Versión |
|---|---|
| Microsoft |
Windows 32 bits |
| Tipo | Indicador |
|---|---|
| ip | 23.52.161.62 |
| ip | 185.35.139.190 |
| ip | 185.35.139.197 |
| hash | 681ccc9e5bab3a23b3ce31fdc1e... |
| hash | cce88f7d511ca24dbb55c3f89f9... |
| hash | 4f335599beaa4792e1946ac5fe2... |
| hash | 683bc13b57ad89e8074c2c5a5ce... |
| hash | f2fc6f76867ac12ac4f69247ad4... |