Si ayer mismo publicábamos un análisis de un malware escondido en un archivo jpg, hoy hemos comprobado en nuestro laboratorio como se han empezado a detectar campañas de spam más elaboradas y que pretenden infectar el máximo número de usuarios usando imágenes adjuntas a los correos para conseguirlo.
En el ejemplo que vimos ayer tan solo se nos mostraba un escueto mensaje, mientras que en las muestras recibidas hoy en nuestros laboratorios ya se observa una mejora en el asunto y cuerpo del mensaje con la finalidad de engañar más fácilmente a los usuarios y conseguir que ejecuten el archivo adjunto malicioso. En esta ocasión se ha vuelto a usar una técnica que se popularizó hace unos meses. Se trata de enviar el correo como si proviniese de un centro de escaneo Xerox, lo que puede llegar a confundir a muchos usuarios, especialmente aquellos que trabajen en grandes empresas.
Como dato curioso, decir que hemos recibido tanto muestras antiguas que siguen utilizando el archivo adjunto comprimido en zip, y que, una vez extraido, simula ser un documento de Word, como nuevas muestras que ya utilizan el archivo con extensión jpg en lugar del zip para encapsular este mismo documento. No obstante, los ciberdelincuentes detrás de esta campaña de envío de spams no se han molestado en cambiar los datos del correo que aun indican que el archivo adjunto es un zip.
Este cambio de estrategia demuestra que la inclusión de archivos con la extensión jpg como contenedores de otros archivos infectados está dando resultado. Esto se debe a que muchos usuarios aun desconocen que pueden encontrar malware en estos archivos, a pesar de que hay constancia de casos similares desde hace bastantes meses.
Si analizamos el contenido del archivo jpg con un editor hexadecimal, veremos (como en el caso que analizamos ayer) como, dentro del mismo se encuentra comprimido el archivo Xerox_Scan_N0032-42344250.doc.exe, archivo que es detectado por las soluciones de seguridad de ESET como Win32/Oficla.GN.
Desde el laboratorio de ESET en Ontinet.com nos gustaría destacar como, el simple cambio de usar un tipo de fichero u otro puede hacer que las amenazas tengan más éxito a la hora de infectar a más usuarios. No estamos hablando de técnicas complejas de infección con aprovechamiento de vulnerabilidades de por medio. En este caso, lo único que se aprovecha es la confianza que los usuarios aun tenemos en ciertos tipos de archivos, confianza que puede costarnos muy cara en caso de no contar con una solución de seguridad capaz de detectar este tipo de amenazas.
Josep Albors
Actualización 1/10: Parece que esta manera de incluir malware en archivos adjuntos está dando su fruto puesto que, durante el día de hoy, hemos visto como se empieza usar un falso correo de Fedex para seguir propagando este típo de amenazas. Es probable que, durante una temporada, sigamos viendo como se usan archivos jpg en lugar de archivos comprimidos adjuntos como contenedores de malware.