Remcos: el tramposo malware de las facturas

A pesar de encontrarnos en medio de la temporada estival, el malware Remcos continúa su avance en España, adoptando tácticas engañosas relacionadas con devoluciones de pago para dirigirse especialmente a los departamentos de administración de las empresas.

Desde el equipo de expertos de ESET considerán que pese a la tendencia de disminución de las amenazas cibernéticas durante los meses de vacaciones, el malware Remcos está demostrando ser una excepción en el panorama de la ciberseguridad.

Este malware persistente ha estado llevando a cabo campañas de ataque por correo electrónico que involucran la emisión de correos electrónicos fraudulentos que se hacen pasar por notificaciones legítimas de devoluciones de pago. Si bien los delincuentes detrás de esta amenaza no están suplantando la identidad de instituciones bancarias ni grandes empresas, han logrado crear un sentido de urgencia y confianza en los destinatarios al manipular el contenido del correo.

¿Cómo funciona Remcos?

Remcos utilizando una plantilla genérica en español, estos correos electrónicos contienen un archivo adjunto en formato Word que, en apariencia, solo muestra caracteres sin sentido para el receptor. Sin embargo, este archivo busca explotar una vulnerabilidad antigua en Microsoft Office que ha sido corregida durante años, pero que aún afecta a sistemas no actualizados. Una vez que se abre el archivo, se desencadena una cadena de infección que culmina en la descarga y ejecución del malware.

La investigación revela que el malware Remcos, conocido por ser una herramienta de control remoto, ha sido empleado en estos ataques. Esta herramienta se presenta falsamente como una aplicación legítima, pero se utiliza para robar información confidencial. Una vez que el malware se instala en un sistema, proporciona a los atacantes un acceso remoto completo al dispositivo infectado. Esta puerta trasera permite a los ciberdelincuentes acceder a datos sensibles y llevar a cabo una variedad de actividades maliciosas.

Proceso de infección

En este proceso, se ha observado el uso de Modiloader (también llamado DBatLoader) para cargar el payload final que contiene Remcos en los sistemas afectados. Modiloader es una herramienta utilizada en diversas campañas de distribución de malware, especialmente aquellos relacionados con el acceso remoto.

El malware Remcos recopila información robada y la almacena en un servidor externo controlado por los atacantes. Además de robar credenciales almacenadas en aplicaciones cotidianas, el malware también es capaz de capturar pantallas, registrar pulsaciones de teclas e incluso grabar conversaciones si el dispositivo infectado tiene micrófono.

Esta persistente amenaza subraya la necesidad de mantener la ciberseguridad en alerta, incluso durante los periodos vacacionales. La detección y eliminación temprana de estas amenazas es esencial para proteger la integridad de las empresas. Se insta a las organizaciones a estar atentas ante correos electrónicos sospechosos y a implementar soluciones de seguridad eficaces para prevenir la exposición de información sensible y posibles ataques más graves.