Correos con supuestas facturas propagan malware

El uso de los correos electrónico para enviar códigos maliciosos se remonta casi al inicio del uso de Internet por el gran público. En todos estos años hemos visto multitud de variaciones con el fin de conseguir el mayor número de usuarios infectados. No obstante, esta popularidad del correo electrónico como vector de infección también ha hecho que las compañías antivirus lo tengan muy controlado y sean fácilmente detectables en la defensa perimetral instalada en los servidores de correo.

Es por eso que, en los últimos meses, estamos viendo un resurgimiento del envío de código malicioso de forma simple, esto es, con el malware adjunto al mensaje, pero usando técnicas de ingeniería social para hacer que el usuario pique. Así pues, hemos visto correos con supuestos envíos realizados por nosotros mediante compañías de mensajería como SEUR, DHL o Fedex, otros con supuestas fotos de conocidos/as o, facturas no pagadas o, como el que nos ocupa en esta ocasión informes mal redactados.

Es curioso ver como este tipo de amenazas se orientan últimamente a los entornos corporativos por los temas que tratan (facturas o informes). No queremos decir que el usuario corriente esté a salvo de caer en esta treta pero, por su asunto, un empleado de una empresa es más susceptible de abrirlo sin tomar las medidas oportunas.

El malware que se propaga usando esta técnica no tiene nada de nuevo ya que cuando se descomprime se muestra como un documento de Microsoft Word (.doc) aunque realmente sea un ejecutable. Este engaño se consigue asignándole el icono del procesador de textos, añadiéndole la coletilla .doc al nombre del fichero y generando una gran cantidad de espacios en blanco usando la técnica del subrallado para que no se vea la extensión real del fichero. Si tenemos activada la opción de mostrar las extensiones, el archivo se verá de la siguiente manera:

Faktura_es.Doc________________________________________________.exe

Nótese que en este ejemplo se ha sustituido la letra “c” de Factura por la “k” para evitar la detección del adjunto por los filtros antispam que ya estaban prevenidos contra este tipo de ficheros por casos anteriores.

En caso de contar con una solución antivirus que lo detecté, no se nos dejará descomprimir el archivo y en el registro de sucesos podremos observar de que tipo de amenaza se trata.



Aunque últimamente este tipo de vectores de infección no causen grandes problemas a la mayoría de usuarios (mas concienciados en materia de seguridad que hace unos años) no hay que bajar la guardia y desconfiar siempre de este tipo de correos, mas aun sabiendo que usan la ingeniería social para pillarnos desprevenidos y ejecutar algo que, normalmente, no haríamos.

Josep Albors

España a la cabeza del ranking de ataques maliciosos en Internet.