Seguridad

Detectan nueva campaña del troyano Neurevt dirigida a usuarios de México

Nueva campaña del malware Neurevt busca infectar a usuarios de México a través de un correo que incluye un PDF malicioso y en el que suplanta la identidad de la Comisión Federal de Electricidad.

En el Laboratorio de Investigación de ESET recibimos una carta fraudulenta dirigida a los usuarios mexicanos, donde se pretende suplantar a la Comisión Federal de Electricidad (CFE), como ha ocurrido en otras ocasiones, haciendo alusión a una supuesta deuda de los usuarios.

Tal como se observa en la Imagen 1, el correo aparentemente llega desde una cuenta oficial de la institución en cuestión, aunque se puede observar que, naturalmente, el correo de origen no corresponde con la empresa. En el mensaje, los atacantes sugieren al usuario que revise un breve documento, para «evitar sanciones».

Correo fraudulento esparcido mediate spam

Esta es una campaña activa de propagación de malware. A diferencia de campañas similares (donde se utilizaba macromalware para la descarga y ejecución del carga útil), en esta ocasión el código malicioso se descarga directamente desde los enlaces incluidos en el cuerpo del correo.

Imagen 2 – Enlaces para la descarga del código malicioso.

El documento de descarga parece ser un archivo PDF, aunque en realidad es un ejecutable (EXE), identificado por las soluciones de seguridad de ESET como Win32/Neurevt.I.

Imagen 3 – Descarga de un archivo PDF aparente, aunque en realidad es EXE

Esta variante de Neurevt se identificó por primera vez en abril de 2015, con una importante actividad en territorio mexicano desde entonces. De hecho, en los últimos años se ha utilizado con frecuencia en campañas maliciosas relacionadas con la suplantación de la identidad de distintas instituciones mexicanas.

Por ejemplo, de septiembre de 2015 a mayo de 2016 estuvo propagándose activamente; otro pico importante de actividad se identificó en mayo de 2017, y un ligero resurgimiento hacia finales de 2018, como se muestra en el gráfico de actividad del código malicioso.

Imagen 4 – Detecciones de Neurevt.I en México (abril 2015 – diciembre 2018)

Entre otras características, se trata de un troyano que funciona como una puerta trasera (puerta trasera) que puede ser controlado de forma remota. Neurevt.I también tiene la capacidad de propagarse a través de medios móviles una vez que ha infectado un sistema y una de sus principales funciones consiste en robar contraseñas e información sensible de los usuarios.

Desde su aparición hasta hoy, México ha sido el país con mayor número de detecciones de esta amenaza a nivel mundial y regional, ya que el 45% de las detecciones globales se han realizado en territorio mexicano, lo que demuestra su continua actividad en esta área geográfica. .

Imagen 5 – Detecciones globales de Neurevt.I (abril 2015 – diciembre 2018)

Como suele ocurrir, una de las vías más utilizadas para propagar este tipo de código malicioso sigue siendo el correo electrónico, por lo que seguir las buenas prácticas en el uso de esta importante herramienta, así como contar con una solución de seguridad frente al malware, han vuelto prácticamente una necesidad. .

Además, es importante verificar los remitentes de dichos mensajes e ignorando enlaces sospechosos que instantáneamente a la descarga de archivos en Internet o redirigen a sitios desconocidos. Es recomendable caso omiso a los mensajes íntimos o que suenan demasiado buenos para ser verdad, ya que cuando se trata de un correo legito estar personalizado y generamento la información ha sido solicitada con anterioridad.

muestra revisada

CFE_Factura 01-08-2019.exe (Neurevt.I)

2942319d6f196e5abfaa32183b09c61d810a8fd4

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!