El Laboratorio de Investigación de ESET descubrió hoy una nueva amenaza informática que afecta al territorio mexicano. La compañía recibió un correo fraudulento, donde se intenta suplantar a la Comisión Federal de Electricidad (CFE) mediante la alusión a una supuesta deuda de los usuarios, informó ESET en un comunicado.
Tal como se observa en la imagen, el correo aparenta llegar desde una cuenta oficial de la institución en cuestión, aunque se puede observar que el correo de origen no corresponde con la empresa. En el mensaje los atacantes sugieren al usuario revisar un documento a la brevedad, para “evitar sanciones”.
“Se trata de una campaña de propagación de malware activa. A diferencia de campañas similares (donde se utilizaba macromalware para la descarga y ejecución del payload), en esta ocasión el código malicioso se descarga de forma directa desde los enlaces incluidos en el cuerpo del correo”, adivirtió la compañía.
El documento de descarga aparenta ser un archivo PDF, aunque en realidad se trata de un ejecutable (EXE), identificado como Win32/Neurevt.I.
Esta variante de Neurevt se identificó por primera vez en abril de 2015, con una importante actividad en territorio mexicano desde entonces. De hecho, en los últimos años ha sido utilizada con frecuencia en campañas maliciosas relacionadas con la suplantación de identidad de distintas instituciones mexicanas.
De acuerdo a la firma de seguridad, se trata de un troyano que funciona como una puerta trasera (backdoor) que puede ser controlado de forma remota. Neurevt.I también tiene la capacidad de propagarse a través de medios removibles una vez que ha infectado un sistema y una de sus principales funciones consiste en robar contraseñas e información sensible de los usuarios.
“Desde su aparición hasta la fecha, México ha sido el país con el mayor número de detecciones de esta amenaza a nivel mundial y regional, ya que el 45% de las detecciones globales se han realizado en territorio mexicano, lo que muestra su continua actividad en esta zona geográfica”, indica el comunicado.
Como ocurre con frecuencia, una de las vías más utilizadas para propagar este tipo de códigos maliciosos continúan siendo los correos electrónicos, por lo que seguir buenas prácticas en el uso de esta herramienta. Además, es importante verificar los remitentes de dichos mensajes e ignorar enlaces sospechosos que instan a la descarga de archivos en internet o redirigen a sitios desconocidos. Es recomendable hacer caso omiso a los mensajes intimidatorios o que suenan demasiado buenos para ser verdad, ya que cuando se trata de un correo legítimo suele estar personalizado y generalmente la información ha sido solicitada con anterioridad.