Email con falsa factura usado para robar credenciales guardadas en aplicaciones

Los correos con supuestas facturas han sido uno de los cebos preferidos por los delincuentes durante los últimos meses. En este mismo blog hemos analizado varios casos donde troyanos bancarios como Grandoreiro y Mekotio las han utilizado para conseguir nueva víctimas, así como también han sido usadas por otras amenazas como las herramientas de control remoto maliciosas o RATs, tal y como vamos a ver en el ejemplo de hoy.

Correo con factura sospechosa

Tal y como hemos observado en anteriores ocasiones, los delincuentes utilizan un correo enviado desde una cuenta comprometida previamente para que la víctima crea que se trata de un correo legítimo y también para tratar de esquivar la detección por parte de los filtros antispam. Tanto el asunto como el cuerpo del mensaje de estos correos suele ser bastante escueto, como podemos observar en el siguiente ejemplo.

Aparentemente, adjunto al correo va un fichero PDF con una factura pero, en realidad, se trata de una imagen con un enlace incrustado que redirige a la descarga de un archivo almacenado en el servicio Mediafire. Esto lo podemos observar tanto si colocamos el cursor del ratón por encima de la imagen de la factura como revisando el código fuente del email.

Descarga y ejecución del malware

En caso de pulsar sobre la imagen de la factura, se procede a la descarga de un fichero comprimido en formato TGZ. Esta técnica es frecuente de ver tanto en este tipo de amenazas como en los troyanos bancarios, usándola para que, al menos inicialmente, las víctimas no sospechen que se encuentran ante un fichero potencialmente peligroso.

Sin embargo, tal y como podemos ver al tratar de descomprimirlo, dentro del archivo comprimido se encuentra un fichero ejecutable con un nombre que intenta hacerse pasar por una factura.

En este punto, evitar la infección dependerá de la habilidad del usuario reconociendo un fichero malicioso o de la capacidad de la solución de seguridad instalada en el sistema. Las soluciones de seguridad de ESET detectan el ejecutable dentro del archivo comprimido como una variante del troyano MSIL/GenKryptik.FOW.

Además, al ejecutar ese el malware, este se detecta como una variante del  conocido troyano Agent Tesla, una de las amenazas que, junto con el malware Formbook, más a utilizado esta técnica para tratar de infectar sistemas pertenecientes a empresas, tanto en España como en otros países.

Este tipo de amenazas está preparado para identificar aplicaciones de uso común instaladas en el sistema infectado, tales como navegadores de Internet, clientes de correo, clientes FTP, entre otras. Una vez localizadas estas aplicaciones, trata de robar las credenciales almacenadas en ellas y las envía a los delincuentes.

De esta forma, las credenciales obtenidas pueden ser usadas en futuros ataques más dirigidos, ataques como los protagonizados por el ransomware. Así mismo, las credenciales de correo obtenidas también pueden usarse para seguir propagando esta y otras amenazas tanto entre los contactos de la víctima como entre otros objetivos seleccionados por los atacantes.

Conclusión

Tras varios meses observando y analizando estas amenazas podemos comprobar como los atacantes siguen consiguiendo víctimas a pesar de no haber cambiado apenas sus técnicas. Esto demuestra que sigue haciendo falta tanto una labor de concienciación para que los receptores de estos correos sean capaces de reconocerlos como una mayor adopción de soluciones de seguridad capaces de identificar y eliminar estas amenazas.

Josep Albors

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..