La reutilización de plantillas y técnicas ya vistas no es ningún problema para los delincuentes, quienes comprueban que pueden seguir engañando a los usuarios para propagar sus amenazas. Algunas de las campañas de propagación de malware y phishing más efectivas de los últimos años han suplantado exitosamente la identidad de conocidas empresas de transporte y logística, por lo que no es de extrañar que esta semana hayamos vuelto a ver numerosos correos maliciosos que vuelven a utilizar esta estrategia.
Emails de DHL y TNT
La suplantación de empresas legítimas por parte de los delincuentes cada vez es más convincente, y aunque seguimos observando casos donde no se ha realizado demasiado esfuerzo, la verdad es que, en ocasiones, cuesta distinguir un correo fraudulento de uno legítimo. Durante los últimos días hemos estado observando y analizando numerosos correos electrónicos que se hacen pasar por conocidas empresas de logística como DHL y TNT, ya sea en inglés o en un correcto español.
Cada uno de estos correos utiliza una técnica diferente para conseguir su objetivo, y si el email suplantando a TNT adjunta fichero malicioso, los delincuentes detrás del correo suplantando a DHL prefieren utilizar una supuesta factura que contienen un enlace a la descarga de un archivo. Además, en este último caso vemos como incluso han incluido un enlace a un número de seguimiento real que deriva a una página oficial de DHL para hacerlo todo más creíble.
Ya sea de una forma o de otra, la finalidad de estos correos es que el usuario se descargue un fichero en su sistema y lo ejecute. Además, otro detalle importante es que estos archivos no se muestran como ejecutables, sino que utilizan extensiones poco usuales para tratar de pasar desapercibidos, aunque finalmente sí que se trate de archivos ejecutables.
Aunque se trate de campañas parecidas por la suplantación que hacen de empresas de logística y hayan coincidido en el tiempo, sus respectivas cadenas de ejecución son diferentes. Esto podría ser un indicio de que estaríamos ante grupos de delincuentes diferentes propagando, como veremos más adelante, la misma amenaza y utilizando ganchos similares para conseguir nuevas víctimas.
También resulta curioso comprobar que aun tratándose de dos campañas de propagación del malware Formbook diferentes, que han coincidido en el tiempo y en el uso de plantillas similares, mientras unos delincuentes no tienen problemas en mostrar las webs que utilizan como señuelo, otros se preocupan de que no aparezcan en texto plano al hacer un análisis.
El malware Formbook pertenece al malware conocido como infostealers o ladrones de información, y es una amenaza que utilizan los delincuentes para obtener credenciales almacenadas en aplicaciones de uso cotidiano en empresas como puedan ser navegadores de Internet, clientes de correo, clientes FTP y VPNs, aunque también pueden capturar contraseñas escritas por los usuarios y realizar otras acciones maliciosas.
Se trata, junto con Agent Tesla, de una de las amenazas más detectadas en España desde hace varios meses y que puede ser solo el inicio de un incidente de seguridad mucho mayor para las empresas atacadas. Recordemos que una vez se han hecho con este tipo de credenciales, los atacantes pueden usarla para tratar de acceder a la red interna de la empresa, robar información confidencial y cifrarla, exigiendo un rescate para su descifrado o para que no sea hecha pública.
Conclusión
Aunque la suplantación de empresas de logística no sea ninguna novedad en campañas de propagación de amenazas, los delincuentes siguen viendo como resultan efectivas. Por ese motivo es importante aprender a identificar estos correos maliciosos (especialmente si no estamos esperando ningún tipo de envío de estas empresas), fijándose atentamente en los detalles, desconfiando de enlaces y ficheros adjuntos y contando con soluciones de seguridad capaces de identificar y eliminar estas amenazas antes de que sea demasiado tarde.