Correos con falsas facturas intentan infectar tu ordenador

factura

Los delincuentes siguen intentando hacer su agosto a costa de los usuarios desprevenidos repitiendo tácticas y modificándolas levemente para conseguir infectar el mayor número de máquinas posible. Esto se demuestra con el caso que vamos a analizar hoy, donde vemos cómo, adaptando una amenaza reciente, se intenta volver a conseguir que alguien descargue y ejecute un fichero infectado.

Repitiendo y adaptando la técnica

Hace un par de semanas informábamos de una campaña de envío masivo de spam con mensajes en inglés que decían adjuntar una factura en un fichero ejecutable comprimido como ZIP. En ese mismo post ya alertábamos de la utilización por parte de los delincuentes de documentos ofimáticos de Word, más difíciles de detectar como peligrosos a primera vista.

En la tarde de ayer vimos que se volvían a propagar una cantidad importante de correos maliciosos como los ya analizados, pero mejor elaborados. De hecho, lo primero que llama la atención es que, en esta ocasión están redactados en un español correcto, que incluye tildes, y además se menciona el envío de una factura pendiente.

 factura_xls1

Otro detalle importante es que los delincuentes han elaborado los correos de forma que el remitente sea también el que firme el mensaje. Es muy problable que las direcciones desde las que se están enviando estos correos pertenezcan a algún tipo de botnet controlada por los atacantes, y los propietarios legítimos desconocen que se están usando sus cuentas para estas actividades delictivas.

En ese correo también observamos el fichero con extensión XLS, que corresponde a una hoja de cálculo de Microsoft Excel. Si descargamos y revisamos las propiedades del archivo observaremos como no parece que haya nada fuera de lo común.

factura_xls2

Las macros como vector de ataque

A pesar de que aparentemente nos encontramos ante un fichero inofensivo, la realidad es bien diferente. Igual que en el caso que analizamos anteriormente, en el que el archivo DOC contenía macros que, de ejecutarse, descargaban malware, en este caso ocurre exactamente lo mismo.

El fichero en sí no contiene ningún tipo de información útil, y tal y como podemos ver en la imagen que mostramos a continuación, tan solo contiene líneas de números y letras sin sentido.

factura_xls3

Sin embargo, si un usuario descarga y abre este fichero permitiendo en el proceso la ejecución de las macros, estás procederán a descargar un malware desde un servidor controlado por los atacantes. Este puede ser de cualquiera de los tipos de malware que los delincuentes quieran propagar en ese momento, ya sean troyanos bancarios, ransomware o, simplemente, obtener más bots para su red de ordenadores zombis.

Conclusión

Si hay veces en que muchos usuarios abren un fichero ejecutable adjunto a pesar de haberlo recibido en un correo en inglés desde un remitente desconocido, en esta ocasión el peligro se multiplica, puesto que el correo viene en español y el fichero adjunto no es un sospechoso habitual de contener malware.

Por eso es importante que ignoremos aquellos mensajes cuya procedencia desconozcamos o, como mínimo, los pongamos en cuarentena hasta que nos aseguremos de que realmente estamos esperando una comunicación de ese remitente.

Josep Albors

Stagefright: comprometiendo la seguridad de Android con solo un mensaje