Cómo es el virus ruso que intenta engañar a usuarios argentinos

La empresa de ciberseguridad ProofPoint advirtió que un grupo ruso de ciberdelincuentes llamado TA505, que ya ha desarrollado malware como FlawedGrace, FlawedAmmy y ServHelper, se encuentra haciendo campañas de correos electrónicos de phishing dirigidos a la Argentina y a Chile.

Estos ataques se propagan a través del envío de mails fraudulentos con un archivo adjunto de Word, Excel, PowerPoint o PDF que tiene código malicioso internamente y al ejecutarse este infecta el equipo de la víctima sin que esta se entere.

¿Cómo es el engaño?

Para engañar a su víctima utilizan plantillas de correo redactadas en español sin errores ortográficos o gramaticales haciéndose pasar por ser un proveedor que envía un presupuesto, una cotización o una factura pendiente de pago, como también envían un supuesto “extracto bancario” o “resumen de cuenta” para que el usuario engañado ejecute dicho archivo.

Esta amenaza fue clasificada por ProofPoint como un Backdoor llamado “ServHelper”, que posee dos variantes conocidas hasta el momento: Tunnel y Downloader.

La primera (Tunnel) permite al atacante acceder al equipo de forma remota, sin control de por medio.

En tanto, Downloader puede descargar y ejecutar otro malware que el atacante disponga sin que el usuario tome conocimiento sobre la situación. En algunos casos, los ciberatacantes instalan un Ransomware en el equipo de la víctima, encriptando todo un disco para luego pedir un rescate por la información.

Cómo protegerse

  • Mantener actualizado Microsoft Office y todo el software de seguridad.
  • No abra documentos adjuntos de remitentes desconocidos.
  • Aprenda a identificar correos fraudulentos.
  • No deshabilite las funciones de seguridad en los documentos de Office.
  • El correo Phishing puede venir de cualquier persona, incluso un email conocido, así que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.