Falso mensaje de Correos propaga malware

El uso de mensajes de correo electrónico como vector de ataque para propagar amenazas puede sonar a algo anticuado y poco efectivo. No obstante, sigue siendo una de las puertas de entrada a nuestros sistemas de todo tipo de códigos maliciosos, tanto de forma autónoma como formando parte de un ataque más elaborado y que incluya enlaces maliciosos y el aprovechamiento de vulnerabilidades. En las últimas semanas, sin ir más lejos, hemos visto cómo ha sido usado en repetidas ocasiones para propagar variantes de Zbot o timar a los usuarios haciéndose pasar por una agencia de contactos.

A nuestro laboratorio han llegado diversas muestras del siguiente correo que, haciéndose pasar por la Sociedad Estatal de Correos y Telégrafos, nos invita a pulsar sobre un enlace para acceder a un correo certificado perdido.

Como vemos, el mensaje es breve, directo y sin faltas de ortografía, por lo que, tras un primer análisis superficial, es probable que muchos usuarios se vean tentados de pulsar sobre el enlace proporcionado. Si lo hacemos, lo más probable es que se nos muestre una ventana como la que mostramos a continuación:

En este punto no hace falta fijarse mucho para ver que hay algo sospechoso en el archivo que estamos intentando descargar, y no es otra cosa que su doble extensión. Como en muchos otros casos anteriores, lo que intenta pasar por un inocente pdf es, en realidad, un archivo ejecutable, aunque, en esta ocasión, la técnica de “camuflaje” no es muy discreta que digamos.

Si aun a pesar de esta clara advertencia insistimos en descargar el archivo, lo más seguro es que nuestra solución de seguridad lo bloquee, mostrando una alerta en el proceso. En el caso de las soluciones de Seguridad de ESET, esta amenaza está detectada tal y como observamos en la imagen a continuación:

Como en el laboratorio de ESET en Ontinet.com somos curiosos y la propagación de este malware nos pareció un tanto “artesanal”, decidimos analizarlo un poco más a fondo y, con un editor hexadecimal, encontramos que, muy probablemente, el creador de esta variante se trate de un aprendiz de ciberdelincuente haciendo sus pinitos en este campo, modificando muestras ya existentes y cambiando un poco de código para lanzarlas de nuevo como propias.

Como vemos, la creación o modificación de nuevas amenazas y su posterior propagación están al alcance de casi cualquier usuario con unos conocimientos mínimos, no solo de las grandes mafias del cibercrimen. Si bien es cierto que estas mafias son las que controlan el mayor volumen del malware que se propaga a nivel mundial, aún hay muchos ciberdelincuentes que trabajan por su cuenta o como freelance para estas mismas mafias.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..