Falso mensaje de Correos propaga malware
El uso de mensajes de correo electrónico como vector de ataque para propagar amenazas puede sonar a algo anticuado y poco efectivo. No obstante, sigue siendo una de las puertas de entrada a nuestros sistemas de todo tipo de códigos maliciosos, tanto de forma autónoma como formando parte de un ataque más elaborado y que incluya enlaces maliciosos y el aprovechamiento de vulnerabilidades. En las últimas semanas, sin ir más lejos, hemos visto cómo ha sido usado en repetidas ocasiones para propagar variantes de Zbot o timar a los usuarios haciéndose pasar por una agencia de contactos.
A nuestro laboratorio han llegado diversas muestras del siguiente correo que, haciéndose pasar por la Sociedad Estatal de Correos y Telégrafos, nos invita a pulsar sobre un enlace para acceder a un correo certificado perdido.
Como vemos, el mensaje es breve, directo y sin faltas de ortografía, por lo que, tras un primer análisis superficial, es probable que muchos usuarios se vean tentados de pulsar sobre el enlace proporcionado. Si lo hacemos, lo más probable es que se nos muestre una ventana como la que mostramos a continuación:
En este punto no hace falta fijarse mucho para ver que hay algo sospechoso en el archivo que estamos intentando descargar, y no es otra cosa que su doble extensión. Como en muchos otros casos anteriores, lo que intenta pasar por un inocente pdf es, en realidad, un archivo ejecutable, aunque, en esta ocasión, la técnica de “camuflaje” no es muy discreta que digamos.
Si aun a pesar de esta clara advertencia insistimos en descargar el archivo, lo más seguro es que nuestra solución de seguridad lo bloquee, mostrando una alerta en el proceso. En el caso de las soluciones de Seguridad de ESET, esta amenaza está detectada tal y como observamos en la imagen a continuación:
Como en el laboratorio de ESET en Ontinet.com somos curiosos y la propagación de este malware nos pareció un tanto “artesanal”, decidimos analizarlo un poco más a fondo y, con un editor hexadecimal, encontramos que, muy probablemente, el creador de esta variante se trate de un aprendiz de ciberdelincuente haciendo sus pinitos en este campo, modificando muestras ya existentes y cambiando un poco de código para lanzarlas de nuevo como propias.
Como vemos, la creación o modificación de nuevas amenazas y su posterior propagación están al alcance de casi cualquier usuario con unos conocimientos mínimos, no solo de las grandes mafias del cibercrimen. Si bien es cierto que estas mafias son las que controlan el mayor volumen del malware que se propaga a nivel mundial, aún hay muchos ciberdelincuentes que trabajan por su cuenta o como freelance para estas mismas mafias.
Josep Albors
Related Posts
-
Citación de Europol. Vuelve la estafa por email que suplanta a cuerpos y fuerzas de seguridad
-
![Vulnerabilidad en Instagram para iOS [sin solución de momento]](https://blogs.protegerse.com/wp-content/themes/point_new/images/smallthumb.png)
Vulnerabilidad en Instagram para iOS [sin solución de momento]
-
Usan la imagen del rey Juan Carlos en nuevas versiones del “Virus de la Policía”
-
KeySweeper: espiando tu teclado inalámbrico desde un cargador USB
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.
Comentar
Lo siento, debes estar conectado para publicar un comentario.