El Troyano Remcos está siendo utilizado en una campaña cibercriminal dirigida a empresas y organismos públicos en Colombia con el fin de robar información sensible. Descubre cómo operan los atacantes y cómo protegerte.

El equipo de investigaciones de ESET Latinoamérica analizó una campaña activa especialmente dirigida a empresas y organismos públicos de Colombia. A través de correos falsos que suplantan la identidad de distintas entidades conocidas, como son bancos, entidades financieras o servicios de mensajería, los cibercriminales utilizan excusas como un supuesto envío o un asunto jurídico urgente que de no atenderse llevaría a alguna acción legal. El objetivo es descargar en los equipos de las víctimas el conocido troyano Remcos, el cual tiene capacidades de robar información sensible del equipo infectado, como credenciales y otro tipo de datos y enviarlo a los atacantes.

La actividad maliciosa comenzó a detectarse a mediados de marzo de 2024, principalmente en Colombia y apuntando en particular a empresas del rubro de la construcción, los servicios automotores, así como entidades gubernamentales e incluso a usuarios hogareños.

Esta campaña tiene similitudes con otras que han sido documentadas por los investigadores de ESET en los últimos meses en la región, y en particular en Colombia, lo que hace pensar que se trata de un mismo grupo cibercriminal que está atrás de ambas campañas.

Correos de Phishing muy convincentes

Los cibercriminales en esta campaña demuestran un conocimiento sobre sus posibles víctimas y generan engaños más creíbles, aumentando sus posibilidades de éxito.

Se ha notado que la distribución de los correos electrónicos tiene características de Spear Phishing —pesca con lanza— en el que los cibercriminales seleccionan a sus víctimas, previa investigación y planificación del ataque dirigido a un blanco específico —a diferencia del phishing donde el envío es más masivo, como si fuera pescar con red.

Troyano con capacidades de robar información sensible

Una vez que el usuario cae en el engaño y descarga el archivo adjunto ejecutará en la máquina de la víctima Remcos, un troyano con capacidades de robar información sensible y que puede recolectar desde registro de las teclas que pulsa la víctima o hasta capturas de pantalla, para enviar la información a un servidor controlado por los cibercriminales.

Remcos es un software de administración remota legítimo, que no fue desarrollado con fines maliciosos, pero que, por sus características, se convirtió en una herramienta utilizada por cibercriminales para realizar campañas de espionaje u otras actividades maliciosas.

Acceso inicial

Esta amenaza llega a través de un correo electrónico como un archivo malicioso comprimido adjunto. Durante la etapa de análisis, se recolectaron diferentes correos electrónicos que los cibercriminales han utilizado para propagar este código malicioso.

La ingeniería social detrás de la propagación es bastante variada, los cibercriminales se suplantan la identidad de diferentes tipos de entidades, por ejemplo entidades financieras o servicios de mensajería. El contenido de estos correos es diverso, pero se ha visto que está relacionado con la supuesta entrega satisfactoria de un envío o relacionados con procesos jurídicos o alguna mora que conllevaría una supuesta acción legal.

Una vez que la víctima descarga el archivo comprimido adjunto, el mismo posee un archivo con extensión .cmd el cual resulta ser un archivo malicioso de procesamiento por lotes o un archivo batch. Todas las campañas analizadas empezaban con estos archivos comprimidos, sin estar protegidos por una contraseña como en otras campañas, y utilizando diferentes formatos de compresión como .zip o .7z. 

Batch y PowerShell

El archivo malicioso batch tiene como finalidad ejecutar un código malicioso desarrollado en PowerShell, el cual va a ejecutar un binario que se encuentra comprimido y encodeado en base64 dentro de este archivo malicioso.

Este archivo malicioso batch posee una capa de ofuscación para dificultar su análisis y detección. Esta capa, básicamente, se trata de declarar múltiples variables y cada una de ellas contiene una porción de código a ejecutar. La siguiente captura de pantalla muestra una porción de código del archivo malicioso batch. 

Dropper y Remcos

El binario malicioso a ejecutarse, es un archivo malicioso desarrollado con el framework Microsoft .NET. Con el objetivo de evadir mecanismos de seguridad, como también para dificultar el trabajo de un analista, este archivo malicioso utiliza código no malicioso y el cifrado AES para ocultar otros componentes maliciosos usados.

Al ejecutarse, se copia el artefacto malicioso en batch, dentro de la ruta C:\Users\[NOMBRE_USUARIO]\AppData\Roaming con el nombre Cleer.cmd. A su vez, crea una entrada dentro de los registros de Windows en la ruta HKCU\Software\Microsoft\Windows\CurrentVersion\Run para mantener persistencia del archivo malicioso dentro de la víctima.

Luego, procede a desencriptar una librería también desarrollada con el framework Microsoft .NET, la cual va a crear un proceso llamado RegAsm.exe y para inyectarle el troyano Remcos.

Esta librería se encuentra dentro del binario malicioso, encriptada con el algoritmo AES en modo CBC, utilizando la siguiente configuración:

Key: 2190BE5E7CB80235BD11E8DA9AD1191B5C505A7A1B30E1E5A624E0B080B0E3E2IV: 43E2CA83AEB3655359CE57C67080B07E

Por último, Remcos es un software comercializado como una solución para administrar una o varias máquinas de forma remota con una amplia variedad de funcionalidades, por ejemplo:

• Realizar capturas de pantalla

• Realizar capturas de las teclas que son pulsadas por el usuario

• Grabar audio

• Manipulación de archivos

• Ejecutar comandos en una máquina

• Ejecutar scripts en una máquina

Es importante destacar que si bien esta aplicación no fue desarrollada con objetivos maliciosos, dadas sus características se convirtió en una herramienta utilizada por cibercriminales para realizar campañas de espionaje u otras actividades maliciosas.

Más allá de que esta aplicación puede conseguirse por medio de su página oficial, se han visto versiones crackeadas o pirateadas de este software que son comercializadas en foros clandestinos.

Con respecto a la muestra detectada en esta campaña, guarda su configuración en una sección de sus recursos llamada “SETTINGS”, encriptada con el algoritmo RC4.

Conclusión

Los cibercriminales en esta campaña demuestran un conocimiento sobre sus posibles víctimas, lo cual se desprende de la variedad de empresas que son suplantadas. Este conocimiento es utilizado para generar correos electrónicos con engaños que resulten más creíbles para sus víctimas, aumentado así sus posibilidades de éxito. Por otro lado, dadas las similitudes vistas en esta campaña con otras que han sido documentadas en los últimos meses, nos hace pensar que se trata de un mismo grupo cibercriminal que está atrás de ambas campañas, o por lo menos comparten muchas de las técnicas.

Consejos para protegerse

Dado que esta amenaza se distribuye por medio de correos electrónicos que contienen archivos comprimidos maliciosos adjuntos, se enumeran distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:

• Revisar el correo electrónico, prestar atención a:

• La dirección de donde proviene.

• El nombre de la persona que lo envía.

• Revisar el contenido del mensaje, buscando anomalías en la escritura.

• No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió.

• No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa.

• Si un email tiene un enlace y se duda de la página a la que se lo envía, no abrirlo.

• Ser prudentes al descargar y extraer archivos comprimidos .zip/.7z de fuentes no confiables, ya que suelen ser utilizados para ocultar códigos maliciosos y evadir ciertos mecanismos de seguridad.

• Tener los equipos y aplicaciones actualizados a la versión más reciente.

• Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo. 

Fuente: https://www.welivesecurity.com/es/investigaciones/troyano-remcos-roba-informacion-empresas-organismos-colombia/