REMTASU: Spyware que se hace pasar por hack de Facebook

26-02-2016

Cuántas veces hemos querido obtener información privada de algún contacto que tenemos en Facebook; sea un familiar, amigo o cualquier otra cuenta. A veces nos aparecen mensajes de algunas personas que lo han conseguido con tal o cual programa, dejando un enlace donde se puede descargar dicho software. Sin embargo, tratar de hackear una cuenta de Facebook nos puede salir muy caro. Existen programas que prometen darte la clave de una cuenta de Facebook, pero en realidad solo te roban información. Ese es el caso del software llamado Remtasu, un software que se va haciendo popular entre muchos usuarios de la web.

Hack-Facebook2

¿Qué es Remtasu?

Este es un spyware que recopila información personal y privada de nuestra PC, para luego ser enviada a servidores externos.

El más afectado por este virus spyware es Colombia, donde se empezó a conocerse de este problema. Sin embargo, lejos de eliminarse o disminuir esta amenaza, está creciendo y expandiéndose en todo el mundo.

Entre las variantes que son las más propagadas, esta Win32/Remtasu.Y, la cual se extiende haciéndose pasar por una herramienta para supuestamente obtener contraseñas de cuentas de Facebook o hackearlas.

¿Cómo ataca?

Se instala en la PC y se copia automática en la carpeta Win32 del sistema operativo. Desde allí, empieza a crear archivos que permiten robar la información que tengamos o que estemos redactando con nuestro teclado. Una vez que tiene todos nuestros datos recopilados en un archivo, los envía por correo electrónico a diferentes servidores a nivel mundial. Entre la información que recopila están cuentas  de facturas, cobros, correos electrónicos, o cualquier tipo de información que tengamos en nuestra pc.

¿Cómo se comporta este Spyware?

Su medio de transmisión es a través de empaquetamiento utilizando UPX (que es un comprensor de ejecutables de de código libre gratuito, portable y de alto rendimiento). Es decir, al descargar un ejecutable (.exe) y abrirlo, estamos desempaquetando el archivo y poniendo en riesgo nuestra información.

Hack-Facebook

Cuando el archivo está desempaquetado, comienza a implementar funciones en el sistema con código malicioso, con el cual podemos tener una idea del alcance de peligro que tiene este Spyware.

Por ejemplo, en el caso de la imagen que se muestra a continuación, podemos ver que esta variante tiene la particularidad de abrir y obtener la información que tenga el usuario en el portapapeles, robándola sin que nos demos cuenta.

Hack_Facebook_Clipboard

Otro tipo de variante, lo que haces es capturar todos los eventos del teclado, todo lo que escribimos, y almacena toda la información en un archivo, el cual es enviado a servidores FTP; como se puede ver en esta otra imagen.

Hack_Facebook_Keyboard_Y_Ftp

Una peculiaridad de este tipo de amenazas, es que siempre busca alojarse en el sistema, como un mecanismo de persistencia para que no sea detenido fácilmente. Por ello, por más que la víctima reinicie su computadora u ordenador o trate de buscar la amenaza en sus procesos activos, no podrá ubicarla ni pararla.

Lo que hace este Spyware es generar copias de sí mismos y guardarlas en una carpeta creada dentro de la ubicación de la carpeta system32. Se crea una nueva carpeta llamada InstallDir, la cual queda oculta dentro de los archivos ocultos, por lo que el usuario no puede acceder fácilmente a ella.

Nombres_Procesos_Maliciosos

La copia que el archivo malicioso genera, se guarda con un nombre que puede generar confusión al usuario, ya que no es un nombre reconocido rápidamente; incluso buscando en internet se hace difícil encontrarlo. Anteriormente, creaba archivos con nombres parecidos a procesos de sistema; sin embargo, ahora el nombre es bastante genérico, lo cual hace muy difícil distinguirlos rápidamente.

¿Cómo evitarlo?

Por ahora la recomendación más inteligente para no ser víctima de este spyware, es evitar a toda costa cualquier herramienta que se anuncie con la capacidad de hackear una cuenta de Facebook, desconfiando aún más si está disponible gratuitamente. Siempre se recomienda instalar algún programa antivirus, y las opciones gratuitas están al alcance de todos. Mejor es evitarse las ganas de querer hackear una cuenta a perder toda nuestra información privada.

Sin duda, esta noticia es más una advertencia para no caer en este tipo de peligros. Hay que tener cuidado antes de descargar un programa gratuito de desarrolladores no reconocidos. Mejor es informarse bien antes de realizar una descarga de este tipo de programas. Así que evitemos este riesgo y pensemos dos veces antes de pensar en hackear alguna cuenta de Facebook, aunque quizás más adelante salgan otras formas de cómo se propague este virus. En todo caso, estaremos al tanto del avance del peligro para informar.


PAGE TOP