Nuevo caso de suplantación de Correos para propagar malware
|Cuando analizamos malware en el laboratorio de ESET en Ontinet.com estamos muy atentos a las “campañas” o “modas” de los ciberdelincuentes a la hora de propagar sus amenazas. Durante los últimos meses hemos analizado muchos ejemplos de amenazas como Sirefef o el conocido como “Virus de la policía” (o alguna de sus variantes como el de la SGAE), pero, aun así, seguimos viendo cómo amenazas más “clásicas” vuelven a aparecer una y otra vez.
Uno de los métodos más usados consiste en suplantar a una empresa u organización conocida para convencer al usuario de que pulse sobre un enlace o ejecute un fichero adjunto. Hemos visto cómo se han suplantado empresas como Amazon, redes sociales como Facebook o, como vamos a comentar hoy, casos más localizados como Correos.
No es la primera vez que hablamos de una situación similar en este blog. De hecho, a nuestros lectores no deberían sorprenderles este tipo de casos. El más reciente llegó a nuestras bandejas de entrada en los últimos días y pretendía hacerse pasar por una notificación de Correos tras la imposibilidad de poder hacer entrega de un paquete que, supuestamente, estaríamos esperando.
Si nos fijamos, podemos reconocer ciertos patrones analizados con anterioridad, como la utilización de un dominio real para enviar el correo usando técnicas de spoofing de la dirección del email para hacer creer al usuario que el remitente es una fuente confiable.
Seguidamente tenemos un asunto interesante que despierta la curiosidad del receptor del mensaje, y es que no es nada extraño estar esperando un paquete, especialmente si estamos aprovechando las rebajas para realizar nuestras compras online. Se añade también la “necesidad” de abrir el fichero adjunto para obtener la etiqueta que nos permitirá obtener el esperado paquete.
Por último, tenemos el fichero adjunto en sí, presentado en un archivo comprimido, que a su vez contiene un fichero ejecutable con el malware:
El malware que estamos recibiendo en estos correos es detectado sin problema por nuestras soluciones de seguridad, aunque nunca debemos confiarnos, sino sospechar desde el primer instante cuando veamos un correo parecido, evitando abrir ficheros adjuntos potencialmente peligrosos y poner nuestro sistema en peligro.
Esta nueva campaña de propagación de malware recupera técnicas antiguas cuya tasa de éxito no debería ser elevada, pero si se siguen usando es porque cuestan muy poco de preparar y aún hay el suficiente número de usuarios que muerden el anzuelo.
Como siempre, la mejor protección es la atención que prestemos cuando nos encontramos un correo electrónico de este tipo. Si no estamos esperando ningún paquete, deberíamos descartar estos correos de forma inmediata, y en caso de estar esperándolo, siempre es mejor asegurarnos antes en la propia web de Correos o llamando a su servicio de atención al cliente.
Josep Albors
Desde hace dias recibo correo con mi propia direccion de email. Obviamente no se deja bloquear. Como poder saber la fuente de envio y/o terminarlo. Gracias
Hola,
Para revisar la dirección de la que viene realmente un correo puedes revisar la cabecera del email, donde aparecerá no solo la dirección suplantada (la tuya en tu caso) si no que también aparecerá aquella desde la que se envía realmente ese correo.
Saludos
Solo sale mi direccion y nada mas. Normalemnet eeso funciona pero no e neste caso. Alguna otra idea de como puede ser ? Nota. mi pc lo usos solo yo y estos mails son de porno y contactos eroticos festivos. Saludos
Hola,
En este caso pueden ser muchas las razones, desde una infección del equipo a que hayas sufrido el robo de credenciales de tu correo personal y alguién este usándolo para enviar los emails que nos comentas. Sería recomendable que analizaras tu sistema con un antivirus actualizado y cambiases la contraseña de tu correo para descartar estas posibilidades.
Saludos