La amenaza cibernética detrás de las falsas fotomultas

Durante los últimos meses estuvo circulando en el país una campaña de malware a través de correo electrónico que engañaba a los usuarios al notificarles sobre una supuesta multa de tránsito pendiente de pago.

Los correos simulaban provenir del Sistema Integrado de Información sobre Multas y Sanciones por Infracciones de Tránsito, SIMIT,  y alertaban sobre supuestas multas por fotodetección.

Para darle credibilidad al engaño, el mensaje incluía el número de placa del vehículo infractor y un enlace para ver dos fotos que probaban la infracción. Sin embargo, al darle clic, el usuario comenzaba a descargar el malware.

Así se ve el correo que recibe la víctima

De acuerdo con el Laboratorio ESET, se trata del Remtasu que no solo es una amenaza en Colombia sino también en otros países de Latinoamérica.

De acuerdo con la firma, experta en seguridad cibernética, el malware hace parte de la familia Win32/Remtasu y fue desarrollado para robar información sensible que esté almacenada en el portapapeles, o a través de la captura del teclado. La información robada es almacenada en un archivo dentro de la máquina infectada, y luego es enviada a un equipo remoto.

“Desde 2015, Remtasu ha estado haciéndose notar en la región y sus engaños siempre hacen buen uso de la ingeniería social”, explicó el Laboratorio.

El virus suele usar nombres de entidades y empresas conocidas como Falabella o Avianca, y en este caso el Simit, así como palabras que llaman la atención del usuario como “multa”, “sanción”, “deuda”, etcétera.

Los investigadores de ESET también descubrieron que, una vez que infectó al equipo, Remtasu lo convierte en un zombi, es decir, pasa a formar parte de una botnet controlada por el atacante. Los objetivos de esta red de equipos comprometidos pueden variar, pero las botnets generalmente se usan para enviar spam en forma masiva, distribuir malware, alojar contenido ilegal, minar criptomonedas o ejecutar ataques DDoS, todo lo cual es posible gracias al uso de todos esos recursos que pueden trabajar de manera conjunta y distribuida.

Si bien todavía no sabemos para qué se usa esta botnet, sí sabemos por los análisis anteriores que es altamente probable que sea administrada desde Colombia, porque allí está el servidor al que contacta la amenaza.

“Podemos estar seguros de que Remtasu no se tomará un descanso en el futuro cercano y seguirá propagándose con nuevos pretextos”, indicó la firma. Por lo tanto, es importante que los usuarios sepan que si reciben un correo de este tipo, hagan caso o miso o verifiquen su procedencia.

Además, es importante contar con una solución de seguridad que evite infecciones con estos tipos de malware, que se esconden en adjuntos.