Falso correo de Facebook con adjunto infectado

Los correos que suplantan empresas u organismos oficiales han sido una constante a lo largo de todo este año que está a punto de terminar. Desde este blog hemos analizado casos de suplantación como los Amazon, Paypal, Twitter y otras empresas pero también los de organismos oficiales españoles como la Agencia tributaria e incluso de las fuerzas de seguridad del estado como la Policía Nacional o la Guardia civil.

Una de las empresas que ha sido utilizada como cebo en multitud de ocasiones durante este año ha sido Facebook. El auge de esta red social con más de 500 millones de usuarios, la ha puesto en el punto de mira de los ciberdelincuentes que la han usado tanto como campo de operaciones para sus actividades delictivas como cebo para engañar a los usuarios.

En este caso vamos a proceder a analizar un correo electrónico que hemos recibido en nuestro laboratorio y que tiene unos cuantos aspectos curiosos que son dignos de destacar. Veamos como es este correo:

Hay varias cosas que nos llaman la atención del mismo pero quizá la más destacable es que, a pesar de pretender provenir de Facebook, el dominio usado es el de una de las redes rivales de esta (hi5.com). Asimismo, la escritura del mensaje presenta una serie de caracteres que no corresponden a nuestro alfabeto y, por los símbolos usados, estos parecen indicar que el mensaje se redactó en algún país eslavo (muy probablemente Rusia). Otro de los puntos destacables es que el archivo viene comprimido con contraseña para intentar evitar que los motores antivirus ubicados en la mayoría de servidores de correo puedan bloquear el adjunto. No obstante, la contraseña usada es muy simple y muchos productos antivirus especializados en proteger servidores de correo no tendrán mayor dificultad para descomprimir y analizar el archivo adjunto.

No obstante, pongámonos en la piel de un usuario doméstico sin una protección antivirus adecuada y que recibe el mensaje con el archivo adjunto malicioso intacto. En ese caso, el usuario podría proceder a descargar y descomprimir el adjunto, ejecutándolo a continuación. Si así lo hiciese, su sistema quedaría infectado por un código malicioso que las soluciones de seguridad de ESET identifican como una variante del troyano Win32/Injector.CCY.

Como vemos, el correo electrónico sigue siendo un vector de propagación de malware bastante importante para los ciberdelincuentes, aunque sea usando a las redes sociales como cebo. No obstante si seguimos los consejos que proporcionamos desde el laboratorio de ESET en Ontinet.com y aplicamos nuestro sentido común (junto con una protección antivirus eficaz), nos será mucho más fácil identificar aquellos correos que puedan contener malware y evitaremos que nuestro sistema quede infectado.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..