[Alerta] Correos con falsas facturas propagan malware

Durante la noche de ayer empezamos a recibir en nuestro laboratorio una gran cantidad de correos con un enlace sospechoso que nos hizo activar las alarmas. Este tipo de correos tienen asuntos similares que hacían referencia a facturas no recibidas o impagadas, con una estructura similar a la del que mostramos a continuación:

Obviamente, este tipo de correos está preparado específicamente para despertar la curiosidad de aquellos usuarios empleados en departamentos administrativos o comerciales de las empresas, aunque cualquier tipo de usuario desprevenido puede caer en la trampa. Al pulsar sobre el enlace, se abrirá una ventana de nuestro navegador ofreciendo la descarga del archivo malicioso.

Una vez descargado el archivo en nuestro disco, si lo abrimos comprobaremos que sigue usando la técnica de ocultar su extensión de una forma sencilla pero efectiva que ya ha sido usada con anterioridad en múltiples ocasiones. El usuario podría pensar que se trata de un fichero PDF, pero si revisamos la extensión veremos que en realidad se trata de un ejecutable de Windows. Todo esto suponiendo que el usuario tenga activada la opción de visualizar la extensión de los ficheros, práctica no tan extendida como debería.

Por supuesto, los usuarios de las soluciones de seguridad de ESET se encuentran protegidos de estas amenazas, ya que detectan el archivo malicioso como una variante del troyano Win32/Injector.WZK. Además, muchos de los dominios que están siendo usados para propagar este malware también son bloqueados por ESET, lo que impide la descarga del archivo malicioso.

Lo más preocupante del asunto es que todos los enlaces que hemos detectado desde los que se está sirviendo este código malicioso pertenecen a empresas o servicios legítimos que han visto comprometida su seguridad y cómo se ha añadido una carpeta a su web donde se aloja el malware. Entre las empresas afectadas se encuentran incluso alguna consultoría especializada en tecnologías de la información que debería revisar urgentemente la seguridad de su sitio web.

En resumen, estamos ante un nuevo caso de propagación de malware usando técnicas clásicas pero que, además, se aprovecha de webs vulnerables para alojar malware. Este hecho ha sido una constante en los últimos meses y ya hemos analizado casos similares en nuestro blog con códigos maliciosos alojados en blogs sin actualizar.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios eliminar los mensajes que contienen los enlaces maliciosos y actualizar su antivirus para detectar los archivos infectados que se descargan. También sería interesante que algunos webmasters se tomaran en serio la seguridad de sus sitios web y evitasen que fueran usados para propagar malware.

Josep Albors

@JosepAlbors

Anonymous se solidariza con el movimiento 25S y amenaza con ataques a entidades gubernamentales españolas