Los correos con supuestas facturas han sido uno de los cebos preferidos por los delincuentes durante los últimos meses. En este mismo blog hemos analizado varios casos donde troyanos bancarios como Grandoreiro y Mekotio las han utilizado para conseguir nueva víctimas, así como también han sido usadas por otras amenazas como las herramientas de control remoto maliciosas o RATs, tal y como vamos a ver en el ejemplo de hoy.
Correo con factura sospechosa
Tal y como hemos observado en anteriores ocasiones, los delincuentes utilizan un correo enviado desde una cuenta comprometida previamente para que la víctima crea que se trata de un correo legítimo y también para tratar de esquivar la detección por parte de los filtros antispam. Tanto el asunto como el cuerpo del mensaje de estos correos suele ser bastante escueto, como podemos observar en el siguiente ejemplo.
Aparentemente, adjunto al correo va un fichero PDF con una factura pero, en realidad, se trata de una imagen con un enlace incrustado que redirige a la descarga de un archivo almacenado en el servicio Mediafire. Esto lo podemos observar tanto si colocamos el cursor del ratón por encima de la imagen de la factura como revisando el código fuente del email.
Descarga y ejecución del malware
En caso de pulsar sobre la imagen de la factura, se procede a la descarga de un fichero comprimido en formato TGZ. Esta técnica es frecuente de ver tanto en este tipo de amenazas como en los troyanos bancarios, usándola para que, al menos inicialmente, las víctimas no sospechen que se encuentran ante un fichero potencialmente peligroso.
Sin embargo, tal y como podemos ver al tratar de descomprimirlo, dentro del archivo comprimido se encuentra un fichero ejecutable con un nombre que intenta hacerse pasar por una factura.
En este punto, evitar la infección dependerá de la habilidad del usuario reconociendo un fichero malicioso o de la capacidad de la solución de seguridad instalada en el sistema. Las soluciones de seguridad de ESET detectan el ejecutable dentro del archivo comprimido como una variante del troyano MSIL/GenKryptik.FOW.
Además, al ejecutar ese el malware, este se detecta como una variante del conocido troyano Agent Tesla, una de las amenazas que, junto con el malware Formbook, más a utilizado esta técnica para tratar de infectar sistemas pertenecientes a empresas, tanto en España como en otros países.
Este tipo de amenazas está preparado para identificar aplicaciones de uso común instaladas en el sistema infectado, tales como navegadores de Internet, clientes de correo, clientes FTP, entre otras. Una vez localizadas estas aplicaciones, trata de robar las credenciales almacenadas en ellas y las envía a los delincuentes.
De esta forma, las credenciales obtenidas pueden ser usadas en futuros ataques más dirigidos, ataques como los protagonizados por el ransomware. Así mismo, las credenciales de correo obtenidas también pueden usarse para seguir propagando esta y otras amenazas tanto entre los contactos de la víctima como entre otros objetivos seleccionados por los atacantes.
Conclusión
Tras varios meses observando y analizando estas amenazas podemos comprobar como los atacantes siguen consiguiendo víctimas a pesar de no haber cambiado apenas sus técnicas. Esto demuestra que sigue haciendo falta tanto una labor de concienciación para que los receptores de estos correos sean capaces de reconocerlos como una mayor adopción de soluciones de seguridad capaces de identificar y eliminar estas amenazas.