Correo con falso MMS de Vodafone propaga troyano

El uso de marcas reconocidas por parte de los ciberdelincuentes es algo que viene usándose desde hace tiempo. No obstante, no por estar más habituados a este tipo de engaño debemos bajar la guardia, ya que basta un simple despiste para pulsar donde no debemos e infectar nuestro sistema.

Durante el día de hoy hemos recibido en nuestro laboratorio varias muestras de un correo sospechoso cuyo remitente decía ser la empresa de telecomunicaciones Vodafone. En ese correo se hace alusión a un número de teléfono móvil perteneciente a un usuario de España (nótese el código regional +34 antes del número en sí) y nos informa de la posibilidad de visualizar mensajes MMS en nuestro móvil o en un fichero adjunto como el que nos mandan en ese mismo correo.

eset_nod32_antivirus_troyano_vodafone

Obviamente, por mucho que el mensaje diga que procede de Vodafone, nosotros somos desconfiados por naturaleza, así que lo primero que hemos hecho ha sido analizar la cabecera completa del mensaje, donde hemos comprobado que, a pesar de camuflarse el remitente con un dominio vodafone.es y que en el identificador del mensaje también se haga mención al dominio principal vodafone.com, la dirección de retorno del mensaje apunta a una dirección de Facebook.

eset_nod32_antivirus_troyano_vodafone2

Esto es un indicio claro de que se está intentando utilizar el buen nombre de una marca conocida para ganarse la confianza de los usuarios, sabedores de que la mayoría de ellos no llegará a revisar la cabecera completa del mensaje.

Si caemos en el engaño y descargamos el fichero adjunto que se nos proporciona observaremos al descomprimirlo que este cuenta con una doble extensión. Esta técnica, a pesar de ser muy rudimentaria, sigue engañando a muchos usuarios, y si se complementa con un icono que represente a una imagen, más aún (aunque no es el caso en esta ocasión).

eset_nod32_antivirus_troyano_vodafone3

Si ejecutamos el fichero proporcionado por el falso correo de Vodafone infectaremos nuestro sistema con un troyano que las soluciones de seguridad de ESET identifican como el troyano Win32/TrojanDownloader.Wauchos.I.

En nuestro laboratorio ya habíamos analizado casos de correos similares a este en inglés a finales del año pasado y principios de este. Esta campaña debe de haber resultado provechosa para los ciberdelincuentes, puesto que ahora la han adaptado a los usuarios españoles traduciendo el texto, incorporando números de teléfono españoles y haciendo mención a la filial española de Vodafone.

Ante este tipo de amenazas, lo mejor es desconfiar de aquellos mensajes que adjunten ficheros sospechosos no solicitados, más aun si estos provienen de una operadora de telefonía que no tenemos contratada. Esta simple medida de seguridad nos puede ayudar a evitar más de una  infección, con las molestias que eso acarrea.

Josep Albors

 

Perfiles personales y páginas falsas en Facebook: herramienta cada vez más frecuente de scammers, timadores y ladrones