Oleada de correos con nuevas plantillas propagan troyanos bancarios

Si en los últimos días hemos visto como las campañas relacionadas con los troyanos bancarios Grandoreiro y Mekotio seguían produciéndose con cierta frecuencia, durante las últimas horas hemos visto como los correos electrónicos utilizados por los delincuentes para propagar estas amenazas se han multiplicado, detectando incluso alguna plantilla nueva.

Facturas y currículums usados como gancho

Durante las últimas semanas hemos visto como los delincuentes encargados de las campañas de propagación de este tipo de correos han seguido usando plantillas conocidas como las que suplantan a supuestos servicios de administración financieros o, directamente, muestran una supuesta factura electrónica sin incluir ninguna mención a empresas u organismos oficiales.

En esta ocasión, entre la oleada de correos recibidos durante las últimas horas nos encontramos con un par de plantillas que, hasta el momento, no habíamos observado en nuestro laboratorio. La primera de ellas es una variación de la plantilla con una factura electrónica que no va a nombre de ninguna empresa u organismo oficial.

También observamos la utilización de otra plantilla en la que se hace mención al envío de un plan de estudios. Probablemente los delincuentes quieran aprovechar el inicio de las clases a todos los niveles para probar esta nueva plantilla y comprobar si resulta efectiva a la hora de engañar a las posibles víctimas y convencerlas para que descarguen sus amenazas.

Si se pulsa sobre el enlace, los usuarios serán redirigidos a una URL desde donde se descargará un fichero comprimido, tal y como viene siendo habitual en la propagación de estas amenazas desde hace meses.

En el interior de este archivo comprimido encontramos los archivos MSI y GIF típicos en estas campañas. Como viene siendo habitual, el archivo MSI actúa de descargador del troyano bancario Grandoreiro que, en esta ocasión, se encuentra alojado en la web legítima de un estudio de arquitectura de Granada.

El archivo MSi es detectado por las soluciones de seguridad de ESET como una variante del troyano Win32/TrojanDownloader.Banload.YOA.

Otras plantillas de correos

Como hemos indicado al inicio de este artículo, el volumen de correos recibidos durante las últimas horas ha sido más elevado del habitual y eso se ha dejado notar también en las diferentes plantillas utilizadas por los delincuentes. Si los dos correos revisados mostraban plantillas nuevas, los delincuentes no han querido desaprovechar otras plantillas más conocidas y las han utilizado también para propagar nuevas muestras de los troyanos Grandoreiro como Mekotio.

Una de estas plantillas es la que adjunta un supuesto comprobante fiscal relacionado con una Administración Tributaria, aunque sin especificar cual en concreto. Es una plantilla que hemos visto repetirse con alguna variación durante las últimas semanas y que parece seguir teniendo buen resultado para los delincuentes.

Otro de los emails recibidos utiliza la plantilla de Correos aunque, en esta ocasión, se observan errores en la redacción del mensaje como consecuencia de no utilizar una codificación de caracteres compatibles con el idioma español. Hemos de recordar que la mayoría de este tipo de troyanos bancarios provienen de Brasil y los delincuentes tienen el teclado configurado en portugués por lo que, si no vigilan este detalle, es probable que envíen los correos con plantillas defectuosas como la que vemos a continuación.

Aun con esta plantilla que se ve claramente que no se corresponde con el servicio oficial de Correos (por mucho que desde el campo del remitente se asegure lo contrario), es probable que algún usuario caiga en la trampa.

Conclusión

El elevado número de correos electrónicos recibidos durante las últimas horas y las numerosas plantillas utilizadas demuestran que los delincuentes detrás de estas campañas siguen muy activos y centrados en usuarios de países como España. Está en nuestras manos aprender a reconocer este tipo de emails fraudulentos e ignorarlos, además de utilizar una solución de seguridad que sea capaz de identificar y bloquear las amenazas que propagan.

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..