ESET afirma haber encontrado dos malware que parecieran estar claramente enfocados sobre ambos países y que son variantes del gusano más propagado en la región

Desde el Laboratorio de Investigación de ESET han detectado un par de códigos maliciosos cuyos comportamientos de propagación parecen estar enfocados en Colombia y Venezuela, y que por sus características, están relacionados con la familia VBS/Agent.NDH -el gusano más propagado en Latinoamérica desde el año pasado.

Las campañas de códigos maliciosos que se enfocan en un determinado país o región siempre han existido, y por supuesto Latinoamérica no es la excepción. Ya se han visto casos como el de CPL malware en Brasil, los macro malware en Centroamérica (principalmente en México) además de otros casos relacionados con falsos correos de gobierno en El Salvador y Guatemala y el caso de Remtasu, un troyano que se propagó en Colombia casi de forma exclusiva iniciando este año.

Tal como se advirtió el año pasado de acuerdo a los datos de ESET Live Grid, la familia de códigos maliciosos VBS/Agent.NDH concentraba más del 60% de los países en Latinoamérica y desde entonces ha permanecido como una de las amenazas más detectadas.

Pero a partir de marzo de este año sucedió un cambio en la forma en que se propagaba esta familia, principalmente en Colombia y Venezuela, apareciendo las nuevas variantes VBS/Agent.NHR y VBS/Padon.B con detecciones principalmente en estos dos países.

En lo que va del mes de junio el comportamiento se mantiene, siendo VBS/Padon.B y VBS/Agent.NHR las amenazas que relativamente más detecciones tienen en ambos países. De hecho resulta importante hacer notar que el 38% de las detecciones se concentra en Colombia y un 12% en Venezuela; el restante 50% de las detecciones se reparte en más de 90 países alrededor del mundo, siendo Brasil, Perú y Chile los países de Latinoamérica dentro del conjunto, con apenas un 2% del total de detecciones de estas amenazas.

 

¿De qué se trata la amenaza y en qué varía?

Dos de las muestras detectadas con mayor cantidad de propagación en estos dos países utilizaban nombres de la suite de ofimática de Office como técnica de Ingeniería Social.

Las nuevas detecciones tienen una estrecha relación con la familia de VBS/Agent.NDH detectada durante el año pasado y que sigue siendo una de las muestras más detectadas en Latinoamérica.

Además de ser muestras cuya aparición en el tiempo está separada por un mes y cuya mayoría de detecciones está solamente en dos países de Latinoamérica, hay una cuestión adicional que hace pensar que son muestras que están asociadas con un mismo ataque, pero en campañas de propagación separadas: el hecho de que utilicen el mismo servidor para la conexión de la amenaza, pero en puertos separados. En el primer caso utilizan el puerto 855 y en el segundo el puerto 860.

Latinoamérica está cada vez más en la mira de los delincuentes informáticos, y estos dos malware no hacen sino comprobar este interés.