Nueva versión maliciosa de Remcos amenaza la seguridad de instituciones gubernamentales que usan Windows


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

De acuerdo con un análisis de la unidad de investigación de SILIKN, diversos grupos de ciberdelincuentes están distribuyendo versiones actualizadas de Remcos, una herramienta de acceso remoto clasificada como Remote Access Trojan (RAT), diseñada para controlar equipos de manera remota. Aunque Remcos fue creado inicialmente como una herramienta legítima para la administración y soporte de sistemas, en la práctica ha sido ampliamente explotada con fines maliciosos por ciberdelincuentes.

La versión más reciente de Remcos oculta su código malicioso bajo múltiples capas de diversos elementos como JavaScript, VBScript, codificación Base64, codificación URL y PowerShell, para evadir la detección y análisis de seguridad, y así obtener control completo de los dispositivos con Microsoft Windows. En campañas recientes, esta variante ha explotado una vulnerabilidad conocida de ejecución remota de código (RCE), la cual afecta a instancias de Microsoft Office y WordPad sin parches.

El ataque se inicia con un correo electrónico de phishing que busca engañar a los usuarios para que hagan clic en un archivo de Excel disfrazado como un pedido comercial, una orden de compra, una factura o documentos típicos del área de contabilidad. Al abrir el archivo, se activa la explotación de la vulnerabilidad (CVE-2017–0199) y se descarga la carga útil del malware.

Remcos recoge información básica del dispositivo de la víctima, la cifra y la envía a su servidor de comando y control, registrando que el dispositivo está en línea y disponible para ser manipulado remotamente.

Un aspecto crucial es que, considerando que este ataque se basa en la ingeniería social mediante correos electrónicos de phishing, las organizaciones garanticen que sus empleados reciban capacitación periódica en concientización sobre seguridad, enfocada en la identificación de archivos adjuntos sospechosos y mensajes fraudulentos relacionados con órdenes de compra o facturas.

Prevenir estos ataques exige una combinación de medidas técnicas y sensibilización de los empleados. Identificar señales de advertencia, como remitentes desconocidos, solicitudes urgentes o archivos adjuntos sospechosos, ayuda a minimizar los errores humanos. La capacitación continua y la implementación de sólidas medidas de seguridad permiten que los empleados actúen como la primera línea de defensa.

La protección exige un enfoque integral: asegurar que Microsoft Office esté completamente actualizado con los últimos parches, utilizar soluciones de seguridad avanzada en el correo electrónico para detectar y bloquear archivos adjuntos maliciosos en tiempo real y aplicar medidas de seguridad modernas en los puntos finales para identificar comportamientos sospechosos de PowerShell. De igual forma, contar con una protección robusta en los puntos finales debe ser una prioridad para defenderse de este tipo de ataques, junto con una estrategia fundamental de gestión de parches de seguridad.

Las dependencias gubernamentales que podrían estar expuestas a este tipo de ataque y que deben tomar medidas de seguridad de manera inmediata para proteger la información de los ciudadanos incluyen:

Instituciones de relevancia estratégica para los intereses nacionales

- Instituto Mexicano del Seguro Social (IMSS)
- Servicio de Administración Tributaria (SAT)

Infraestructura crítica

- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento del Municipio de Cajeme del Estado de Sonora
- Sistema Operador de los Servicios de Agua Potable y Alcantarillado del Municipio de Atlixco del Estado de Puebla
- Organismo Agua y Saneamiento de Toluca (OAyST) del Estado de México
- Sistema Integral de Aseo Público de León del Estado de Guanajuato
- Secretaría del Agua y Medio Ambiente (SAMA) del Gobierno del Estado de Zacatecas
- Mexico Projects Hub del Banco Nacional de Obras y Servicios Públicos (Banobras)

Otras instituciones de relevancia nacional

- Secretaría de Desarrollo Social y Humano del Estado de Guanajuato
- Dirección del Registro Civil del Estado de Tlaxcala
- Tecnológico Nacional de México (TecNM)
- Secretaría de la Honestidad del Estado de Guanajuato
- Gobierno del Estado de Tabasco
- Canal del Congreso
- Unidad De Especialidades Médicas De Baja California
- Congreso del Estado de Yucatán
- Subsecretaría de Movilidad del Estado de Colima
- Consejo de Ciencia y Tecnología del Estado de Tabasco
- Municipio de Champotón del Estado de Campeche
- Comité Estatal de Información Estadística y Geográfica del Estado de Tabasco
- Poder Legislativo del Estado de México
- Secretaría de Administración y Finanzas del Estado de México

Para mayor información, visite: https://www.silikn.com/