Phishing de Caixa Penedès con conexión EEUU – España

Los casos de phishing y suplantación a entidades bancarias españolas son algo de lo más común y afecta incluso a las entidades con presencia únicamente en determinadas partes de España. En el caso que nos ocupa hoy, analizaremos un correo que intenta suplantar a Caixa Penedès para propagar un troyano bancario, entidad que ya fue objeto de un caso similar la semana pasada y que nuestros compañeros de ESET Latinoamérica se encargaron de analizar.

Todo empieza con la recepción de un correo que se hace pasar por la entidad bancaria suplantada. Los gráficos usados coinciden con el emblema de la entidad pero, si nos fijamos, observaremos la falta de tildes en el texto y alguna frase extrañamente construida:

En el centro del mensaje destaca la palabra ACEPTAR, en mayúsculas, la cual nos invita a que la pulsemos. No obstante, si observamos el enlace al que nos dirige, veremos que no parece tener nada que ver con la entidad bancaria.

Al comprobar la dirección IP, observamos que esta pertenece a una empresa del estado de Nueva York especializada en soluciones de comunicaciones para empresas.

De hecho, si eliminamos la redirección que realiza el enlace e introducimos solamente la dirección IP, nos aparece la página de registro de Outlook Web Access, con lo que deducimos que, o bien alguien ha introducido archivos no autorizados en los servidores de la empresa, o alguno de los clientes a los que esta empresa da servicio ha visto su seguridad comprometida y está sirviendo enlaces maliciosos.

Volviendo al archivo que se descarga tras pulsar sobre el enlace, observamos que la dirección IP desde la que se realiza esta descarga no tiene nada que ver con la anterior y que el archivo malicioso responde al nombre de ONLINE.EXE.

Obviamente, como en la mayoría de estos casos, el archivo oculta una amenaza que las soluciones de seguridad de ESET detectan como un troyano bancario con nomenclatura Win32/Spy.Banker.WFJ.

En cuanto a la IP desde la que se descarga el archivo, esta pertenece a una empresa española que seguramente habrá visto comprometida la seguridad de alguno de sus servidores y que, al poco tiempo de descubrirse esta amenaza, ha bloqueado el acceso a sus páginas web, incluido el servidor desde el que se descargaba este código malicioso.

Este caso resulta curioso por la redirección, que se realiza desde una máquina comprometida en Estados Unidos a otra en España. Lo habitual es utilizar un único enlace que puede estar en cualquier parte del mundo, pero en este caso se han usado dos, estando el que almacena propiamente el malware ubicado en el mismo país que la entidad a la que ataca, cosa que los atacantes suelen evitar para así no ser descubiertos por las fuerzas de seguridad.

Como vemos, en este ejemplo sigue siendo posible reconocer las pistas que nos pueden hacer sospechar que estamos ante un caso de suplantación de una entidad bancaria. Fallos en la redacción del mensaje, direcciones IP que no se corresponden con los de la entidad o la descarga de un archivo ejecutable sospechoso son tres puntos que deberían hacernos usar nuestro sentido común para evitar pulsar sobre el enlace.

Desde el laboratorio de ESET en Ontinet.com recordamos la importancia de tener todos los sentidos alerta para evitar este tipo de amenazas y, en el caso de que lleguemos a descargar un archivo sospechoso, usemos algún tipo de análisis previo, como el que proporcionamos con ESET Online Scanner.

Josep Albors