{"id":1000,"date":"2018-05-03T09:38:27","date_gmt":"2018-05-03T14:38:27","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=1000"},"modified":"2022-09-24T18:06:16","modified_gmt":"2022-09-24T23:06:16","slug":"1000","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/1000\/","title":{"rendered":"Nueva campa\u00f1a maliciosa trata de afectar a usuarios en Colombia"},"content":{"rendered":"

Se trata de una campa\u00f1a que se propaga a trav\u00e9s del correo y donde intentan suplantar la identidad de Migraciones con la excusa de la existencia de un tr\u00e1mite en proceso que no permite salir del pa\u00eds.<\/p>\n

Durante el d\u00eda de ayer conocimos una\u00a0nueva campa\u00f1a maliciosa<\/strong>\u00a0que apunta a\u00a0comprometer a usuarios en Colombia<\/strong>\u00a0a trav\u00e9s de la suplantaci\u00f3n de las autoridades de migraci\u00f3n de este pa\u00eds. El caso fue\u00a0advertido por las autoridades colombianas<\/a>\u00a0del Centro Cibern\u00e9tico Policial y a nuestro laboratorio llegaron varios reportes de esta campa\u00f1a. A continuaci\u00f3n, presentamos algunas caracter\u00edsticas para que los usuarios puedan reconocerla y evitar ser v\u00edctimas.<\/p>\n

El m\u00e9todo de\u00a0propagaci\u00f3n es a trav\u00e9s del correo electr\u00f3nico<\/strong>, donde intentan\u00a0suplantar la identidad de Migraciones con la excusa de la existencia de un tr\u00e1mite en proceso<\/strong>\u00a0que no dejar\u00e1 salir del pa\u00eds al usuario que recibe el correo, en el cual se\u00a0env\u00eda un archivo comprimido en adjunto<\/strong>\u00a0que supuestamente contiene la notificaci\u00f3n.<\/p>\n

\"1_correo\"<\/a><\/p>\n

 <\/p>\n

Algo importante para resaltar en este punto es el hecho de que\u00a0el archivo adjunto viene comprimido con contrase\u00f1a, lo cual no es algo muy usual<\/strong>\u00a0y que puede tratarse de una artima\u00f1a m\u00e1s de los atacantes para tratar de dar m\u00e1s veracidad a su mensaje y quiz\u00e1s tambi\u00e9n buscando evadir algunos filtros de detecciones de cuentas de correo electr\u00f3nico.<\/p>\n

Una vez que se extrae el archivo, se obtiene un documento muy similar al que hemos visto en otras campa\u00f1as donde tambi\u00e9n\u00a0utilizan macros en documentos de Office<\/a>\u00a0para descargar archivos maliciosos<\/strong>. De hecho, esta amenaza es detectada por las soluciones de ESET como una variante de VBA\/TrojanDownloader.<\/p>\n

\"2_archivo_con_macros\"<\/a><\/p>\n

Hasta este punto no hay nada demasiado fuera de lo com\u00fan, pero al tratar de ver la macro resulta que ha sido protegida con contrase\u00f1a. Este tipo de protecci\u00f3n se volivi\u00f3 com\u00fan por parte de los cibercriminales para tratar de proteger el contenido de sus proyectos maliciosos.<\/p>\n

\"3_proyecto_protegido\"<\/a><\/p>\n

Luego de intentar hacer algo de fuerza bruta tratando de adivinar la contrase\u00f1a, decid\u00ed saltar la protecci\u00f3n aprovechando una caracter\u00edstica poco segura de este tipo de protecci\u00f3n implementada en los proyectos VBA de Office.<\/p>\n

Cuando se protege un proyecto de VBA, la contrase\u00f1a\u00a0queda asociada a tres variables<\/a>\u00a0(CMG, DPB Y GC) que est\u00e1n dentro del archivo .bin del proyecto. Despu\u00e9s de buscar un rato en Internet, intent\u00e9 cambiando las variables del archivo por la informaci\u00f3n de un archivo creado por m\u00ed y de esta manera reemplazar la contrase\u00f1a.<\/p>\n

\"4_variables_archivo_orginal\"<\/a><\/p>\n

Con solo tener cuidado de reemplazar las variables por unas de igual longitud, se logra cambiar la contrase\u00f1a del archivo. As\u00ed que para aquellos desarrolladores que piensan en proteger de esta manera su c\u00f3digo, ya saben lo f\u00e1cil que puede ser romper la protecci\u00f3n.<\/p>\n

\"5_variables_archivo_fake\"<\/a><\/p>\n

Una vez hecho este reemplazo en el archivo, ya se puede acceder al c\u00f3digo de la macro, el cual tiene la URL que descarga el\u00a0payload\u00a0<\/em>\u00a0al dispositvo del usuario.<\/p>\n

\"6_macro_texto_plano\"<\/a><\/p>\n

Algo curioso y para tener en cuenta es que\u00a0la URL desde la cual se descarga el archivo hace referencia a uno de los sistemas que utiliza la DIAN en Colombia<\/strong>, por lo que no ser\u00eda extra\u00f1o que se pueda utilizar en otro tipo de campa\u00f1as maliciosas. De hecho, el sitio activo clona con muy mala calidad la p\u00e1gina web de un hotel que realmente existe.<\/p>\n

\"7_sitio_falso\"<\/a><\/p>\n

Por ahora seguimos haciendo el seguimiento de la campa\u00f1a para tratar de obtener m\u00e1s detalles acerca de su funcionamiento. As\u00ed que\u00a0es importante que est\u00e9n alertas<\/strong>\u00a0para que puedan reconocer cuando se puede tratar de un enga\u00f1o y evitar ser v\u00edctimas de estas amenazas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Se trata de una campa\u00f1a que se propaga a trav\u00e9s del correo y donde intentan suplantar la identidad de Migraciones con la excusa de la existencia de un tr\u00e1mite en proceso que no permite salir del pa\u00eds. Durante el d\u00eda de ayer conocimos una\u00a0nueva campa\u00f1a maliciosa\u00a0que apunta a\u00a0comprometer a usuarios en Colombia\u00a0a trav\u00e9s de la…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":["post-1000","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=1000"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1000\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=1000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=1000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=1000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}