El cobro de multas y facturas pendientes de pago es, por lo tanto, uno de los señuelos habituales de este malware.
Durante los últimos meses estuvo circulando en Colombia una campaña de malware que engañaba a los usuarios indicándoles que tenían una multa de tránsito pendiente de pago. Los correos simulaban provenir del Sistema Integrado de información sobre multas y sanciones por infracciones de tránsito (Simit) de Colombia y notificaban supuestas fotomultas a los conductores.
Para darle credibilidad al engaño, el mensaje generalmente incluía el número de placa del vehículo infractor o un enlace para ver dos fotos que, presuntamente, demostraban la infracción. Pero, en realidad, comienzan la descarga de malware.
Según pudieron determinar los investigadores de ESET, el troyano Remtasu es la amenaza que está detrás de esta campaña, así como de varias otras en Colombia y también en otros países de la región. Las soluciones de seguridad lo detectan como parte de la familia Win32/Remtasu y es un malware desarrollado para robar información sensible que esté almacenada en el portapapeles, o a través de la captura de los eventos del teclado con su funcionalidad de keylogger.
La información robada es almacenada en un archivo dentro de la máquina infectada, y luego es enviada a un equipo remoto del atacante utilizando el protocolo FTP. Desde 2015, Remtasu ha estado haciéndose notar en la región y sus engaños siempre hacen buen uso de la ingeniería social. Las variantes que más se propagan utilizan nombres de entidades y empresas conocidas, como Falabella o Avianca, y en este caso el Simit, o palabras que llaman la atención de sus víctimas: “multa”, “factura”, “importante”, “obligación”, entre otras.
El cobro de multas y facturas pendientes de pago es, por lo tanto, uno de los señuelos habituales de Remtasu y la campaña actual de las fotomultas es un ejemplo más.
Los investigadores de ESET también descubrieron que, una vez que infectó al equipo, Remtasu lo convierte en un zombi, es decir, pasa a formar parte de una botnet controlada por el atacante. Los objetivos de esta red de equipos comprometidos pueden variar, pero las botnets generalmente se usan para enviar spam en forma masiva, distribuir malware, alojar contenido ilegal, minar criptomonedas o ejecutar ataques DDoS, todo lo cual es posible gracias al uso de todos esos recursos que pueden trabajar de manera conjunta y distribuida.
Si bien todavía no sabemos para qué se usa esta botnet, se sabe por los análisis anteriores que es altamente probable que sea administrada desde Colombia, porque allí está el servidor al que contacta la amenaza.
Podemos estar seguros de que Remtasu no se tomará un descanso en el futuro cercano y seguirá propagándose con nuevos pretextos. Por lo tanto, es importante que esté al tanto de su comportamiento para que, si recibe un correo de este tipo, no le haga caso y observe con atención en busca de las señales de que es un engaño.
Además, contar con una solución de seguridad le evitará infectarse con estos tipos de malware que se esconden en adjuntos y muchos otros más, y por supuesto, recuerde pensar antes de hacer clic para no caer en ninguna trampa y navegar seguro.