El uso de facturas como gancho para atraer a posibles víctimas es algo que se ha convertido en una costumbre para muchos ciberdelincuentes. No hay más que ver el volumen de correos que se envían a diario y que constantemente analizamos en nuestro laboratorio. Este tipo de correos maliciosos utiliza diferentes estrategias para desplegar su carga maliciosa o robar credenciales, estrategias que incluyen la instalación de software malicioso oculto en un fichero adjunto o descargado desde un enlace o, como en esta ocasión, redirigiendo a sus víctimas a webs fraudulentas.
El correo que analizamos es similar a los muchos otros con similares intenciones que se propagan a diario, especialmente entre los departamentos de administración y finanzas de empresas españolas. En el cuerpo del mensaje observamos como se hace referencia a un comprobante de pago adjunto al email, además de indicar que deberá iniciarse sesión con un usuario y contraseña para poder proceder a la descarga del documento.
Este correo podría pasar por legítimo si no nos fijamos en exceso en algunos detalles, pero los delincuentes saben bien que, con el volumen de trabajo que suelen tener los departamentos que gestionan facturas en las empresas, es bastante probable que el usuario simplemente proceda a abrir el fichero adjunto. Aquellos con la vista más entrenada notarán que, pese a que no se aprecian faltas de ortografía en el mensaje, la redacción parece forzada en algunos puntos, el nombre del remitente aparece en minúscula en la firma y el dominio desde el que se envía el email, pese a pertenecer a una empresa legítima, pertenece a una empresa que dejó de estar activa hace algún tiempo.
Sin embargo, estos detalles suelen pasar desapercibidos para la mayoría de usuarios por lo que es muy probable que haya habido un número lo suficientemente elevado de usuarios que hayan abierto el PDF adjunto, encontrándose con lo siguiente:
Como podemos observar, el documento PDF no parece especialmente elaborado y todo parece orientado a que la víctima pulse sobre el enlace incrustado que le invita a descargar la supuesta factura. Si nos fijamos, al pasar el cursor del ratón por encima del enlace comprobaremos como se nos quiere redirigir a una web donde, supuestamente, encontraremos el PDF que nos indican en el correo.
Cuando estemos en situaciones similares, es recomendable revisar a donde nos redirigen este tipo de enlaces, por ejemplo, haciendo una búsqueda usando Whois. El resultado de esta búsqueda nos aporta información interesante, como que el dominio usado en esta campaña solo tiene 76 días de antigüedad, algo que nos debería hacer sospechar en la mayoría de ocasiones.
Respecto a la web fraudulenta usada por los delincuentes para robar las credenciales, esta es realmente simple, haciendo referencia a una supuesta plataforma de envío de ficheros y solicitando una dirección de email y una contraseña para poder acceder. No queda claro que credenciales están pidiendo exactamente, pero conociendo a muchos usuarios, es posible que algunos de ellos prueben con varias credenciales de forma infructuosa, credenciales que serán almacenadas por los delincuentes y vendidas o usadas en ataques posteriores a esa empresa.
Esta estrategia para robar credenciales se encuentra entre las más sencillas usadas por los ciberdelincuentes. Tan solo necesitan un kit proporcionado por otros delincuentes para generar webs fraudulentas que sean creíbles, plantillas de correo lo suficientemente convincentes, mandar estos emails a miles de direcciones de correo filtradas y sentarse a esperar cuantos usuarios muerden el anzuelo. Todo esto sin necesitar apenas conocimientos técnicos y a bajo coste, lo que ha hecho que este tipo de campañas se multipliquen durante los últimos años.
Debido a que el envío de este tipo de correos es constante resulta conveniente aprender a reconocer los puntos clave para reconocerlos, además de contar con soluciones de seguridad que los identifiquen y bloqueen antes de caer en la trampa preparada por los ciberdelincuentes.