Correos con supuestas facturas roban credenciales almacenadas en aplicaciones

Entre las amenazas más recurrentes de los últimos meses encontramos aquellas especializadas en robar información, más concretamente credenciales, de aplicaciones instaladas en el sistema de sus víctimas. No hay mes en el que no analicemos al menos un par de estas amenazas que suelen utilizar el correo electrónico como principal vía de infección, suplantando a empresas conocidas o aprovechándose de empresas previamente infectadas para enviar estos emails maliciosos y mencionando casi siempre una factura pendiente.

La “factura” infectada

La utilización de una supuesta factura pendiente de pago es un gancho que resulta efectivo a los delincuentes tanto si orientan sus campañas a usuarios como si lo hacen a empresas. En las últimas horas hemos visto varios ejemplos donde correos remitidos por empresas legítimas ubicadas en España adjuntan archivos comprimidos e indican que se trata de facturas correspondientes al pasado mes de octubre.

Como vemos, los delincuentes no han modificado su estrategia y confían en que el receptor del mensaje proceda a descargar y abrir el fichero adjunto al correo, fichero que viene comprimido en formato RAR. Si lo abrimos podremos observar como, en lugar de un documento ofimático como una hoja de cálculo o un PDF, lo que encontramos es un archivo ejecutable.

Encontrarnos con un archivo de estas características, con un nombre extraño y una extensión que no se corresponde con la esperada, debería hacer saltar todas las alertas al usuario que reciba estos mensajes. Por desgracia, si los delincuentes siguen usando esta estrategia tan simple es porque les da buenos resultados y eso significa que aún a día de hoy, muchos usuarios abren y ejecutan cualquier tipo de fichero, sin importarles su procedencia o extensión.

Detectando la amenaza

Como ya hemos indicado al inicio de este post, este tipo de amenazas son bastante frecuentes desde hace meses y se detectan como software espía por las soluciones de seguridad de ESET, más concretamente como el troyano MSIL/Spy.Agent.AES. Entre sus características principales encontramos su funcionalidad de backdoor, que permite ser controlado remotamente, así como el robo de información personal.

Estas campañas están especializadas en robar credenciales almacenadas en todo tipo de aplicaciones que suelen estar instaladas en sistemas tanto de usuarios particulares como de empleados de compañías. Entre las aplicaciones más destacadas que este malware tiene entre sus objetivos encontramos navegadores de internet, clientes FTP, VPNs o clientes de correo, por citar unos pocos.

Es muy probable que el robo de estas credenciales sea utilizado como parte de una estrategia más elaborada que permita el acceso a una red corporativa por parte de los delincuentes. Teniendo en cuenta que ya se dispondría de una puerta trasera instalada, una vez conseguidas las contraseñas los delincuentes podrían realizar movimientos laterales dentro de la propia empresa comprometida, o preparar ataques a otras empresas con las que la víctima tenga relación para seguir robando información confidencial.

En lo que respecta a la detección de estas amenazas, las muestras asociadas a los correos detectados por nuestro laboratorio en las últimas horas venían en correos en castellano remitidos por empresas españolas, por lo que tiene sentido que España sea el país más afectado por esta campaña.

Sin embargo, también se observa que se están detectando muestras similares en otros países de nuestro entorno como Francia e Italia, e incluso alguno más alejado como Polonia y Turquía. Es muy probable que en esos países los delincuentes estén utilizando correos en sus respectivos idiomas y remitidos por empresas locales para ganarse las confianzas de los usuarios.

Conclusión

A pesar de que estas amenazas suelen venir adjuntas a correos bastante convincentes que incluyen un remitente legítimo e incluso la información de contacto y logotipos de las empresas que han sido víctimas previamente, no debemos confiarnos. Si no estamos esperando ninguna factura o archivo (ya sea adjunto o mediante un enlace de descarga) y además el formato de este archivo no se corresponde con el esperado, es probable que nos encontremos ante un código malicioso.

Por ese motivo es importante contar con una solución de seguridad que sea capaz de reconocer estas amenazas y bloquearlas antes de que infecten el sistema y provoquen graves daños al robar información confidencial.

Josep Albors

Multas de tráfico: una de las plantillas de correo preferidas por los delincuentes