Si revisamos los casos de malware analizados desde la vuelta de vacaciones observaremos que a los ciberdelincuentes parece que les ha dado por volver a usar métodos tradicionales con una ligera vuelta de tuerca para propagar sus creaciones. Primero fueron los correos de supuestas facturas, luego los falsos fax digitales y, desde la tarde de ayer estamos observando un envío masivo de spam que se hace pasar por un aviso de Facebook.
En este mensaje en inglés se nos informa de que se nos ha bloqueado nuestra cuenta de Facebook, toda una tragedia para muchos usuarios, y se nos invita a pulsar sobre un enlace para volver a activarla. Cómo en casos anteriores, el enlace es una trampa puesto que no nos lleva a donde queremos si no que redirige al usuario a un enlace alojado en una web legítima pero que ha sido comprometida por los ciberdelincuentes.
Una vez en este enlace, se redirige de nuevo al usuario a la web donde se aloja el malware todo ello de forma totalmente transparente y utilizando código ofuscado para dificultar el análisis. Al final el usuario se descarga un fichero ejecutable malicioso de nombre update_flash_player.exe y que las soluciones de seguridad de ESET detectan cómo el troyano Win32/PSW.Agent.NTM.
Como vemos, el grupo de ciberdelincuentes que hay detrás de estas campañas de propagación de malware no desiste en su empeño y cada pocas semanas varía ligeramente su estrategia para conseguir infectar el mayor número de usuarios posibles.
Desde el laboratorio de ESET en Ontinet.com seguiremos atentos a posibles nuevas oleadas de mensajes con contenido malicioso para informar a nuestros usuarios tan pronto como tengamos conocimiento de las mismas. Los ciberdelincuentes pueden intentar mejorar este tipo de campañas de propagación de malware pero en nuestro laboratorio estamos dispuestos a fastidiarles la jugada 😉