Alerta por campaña maliciosa contra usuarios en Colombia suplantando Agencia de Migraciones

Bogotá, 30 de abril de 2017.– Eset Colombia advierte sobre una nueva campaña maliciosa que apunta a comprometer a usuarios en Colombia a través de la suplantación de las autoridades de migración de este país. El caso fue advertido por las autoridades colombianas del Centro Cibernético Policial y a nuestro laboratorio llegaron varios reportes de esta campaña. A continuación, presentamos algunas características para que los usuarios puedan reconocerla y evitar ser víctimas.

El método de propagación es a través del correo electrónico, donde intentan suplantar la identidad de Migraciones con la excusa de la existencia de un trámite en proceso que no dejará salir del país al usuario que recibe el correo, en el cual se envía un archivo comprimido en adjunto que supuestamente contiene la notificación.

Algo importante para resaltar en este punto es el hecho de que el archivo adjunto viene comprimido con contraseña, lo cual no es algo muy usual y que puede tratarse de una artimaña más de los atacantes para tratar de dar más veracidad a su mensaje y quizás también buscando evadir algunos filtros de detecciones de cuentas de correo electrónico.

Una vez que se extrae el archivo, se obtiene un documento muy similar al que hemos visto en otras campañas donde también utilizan macros en documentos de Office para descargar archivos maliciosos. De hecho, esta amenaza es detectada por las soluciones de ESET como una variante de VBA/TrojanDownloader.

Hasta este punto no hay nada demasiado fuera de lo común, pero al tratar de ver la macro resulta que ha sido protegida con contraseña. Este tipo de protección se volivió común por parte de los cibercriminales para tratar de proteger el contenido de sus proyectos maliciosos.

Luego de intentar hacer algo de fuerza bruta tratando de adivinar la contraseña, decidí saltar la protección aprovechando una característica poco segura de este tipo de protección implementada en los proyectos VBA de Office.

Cuando se protege un proyecto de VBA, la contraseña queda asociada a tres variables (CMG, DPB Y GC) que están dentro del archivo .bin del proyecto. Después de buscar un rato en Internet, intenté cambiando las variables del archivo por la información de un archivo creado por mí y de esta manera reemplazar la contraseña.

Para ver el informe completo de esta noticia ingrese al siguiente link:

https://www.welivesecurity.com/la-es/2018/04/27/nueva-campana-maliciosa-trata-de-afectar-usuarios-en-colombia/