Email suplantando la identidad de la Universidad de Valencia adjunta código malicioso

Cuando los delincuentes eligen una plantilla para sus campañas de phishing suelen ir a lo seguro y apostar por aquellas que saben que les han dado buenos resultados. Un claro ejemplo de esto son los continuos mensajes suplantando a entidades bancarias, gubernamentales o incluso fuerzas policiales. No obstante, de vez en cuando analizamos algunos casos que se salen de lo habitual, como el que vemos a continuación.

Saludos desde la Universidad de Valencia

Recibir un correo desde una universidad como la de Valencia se sale de lo habitual para muchas empresas y es posible que los delincuentes detrás de esta campaña hayan tratado de probar suerte. Lo normal en los departamentos de administración y finanzas de las empresas españolas es que reciban a diario emails de sus clientes, proveedores e incluso de algún pliego con una administración pública.

Esto lo saben bien los delincuentes y aprovechan para enviar todas las semanas miles de correos con ficheros adjuntos que, haciéndose pasar por facturas, órdenes de pago y documentos similares tratan de engañar a los usuarios para que abran y ejecuten los códigos maliciosos que acompañan a estos correos.

En este caso, sin embargo, nos encontramos con un email que no solo parece estar remitido desde la Universidad de Valencia, sino que también incluye en el cuerpo del mensaje varios logos e información de la citada universidad, para así hacerlo más creíble. Recordemos que otras universidades españolas, como la Carlos III, han sido utilizadas como gancho para propagar amenazas con anterioridad.

No obstante, los usuarios más avispados habrán notado que la redacción del mensaje deja que desear para provenir de un organismo como una universidad. Si bien el correo se entiende sin problemas, la forma en la que está redactado presenta varios fallos como la falta de utilización de mayúsculas en ciertas palabras o problemas de construcción en algunas frases. Esto nos hace pensar que la redacción de este mensaje ha sido realizada por alguien que no utiliza el español como lengua materna o mediante algún sistema de traducción poco sofisticado.

Esto contrasta con muchos de los emails que llevamos analizando desde hace meses y que presentan una redacción sin fallos y que son difíciles de distinguir respecto a correos legítimos. Como vemos, no todos los delincuentes tienen el mismo cuidado a la hora de preparar sus campañas de propagación de malware.

Cabeceras sospechosas y un malware de regalo

Los que hayan recibido este correo puede que se hayan sorprendido de que la dirección del remitente pertenezca, supuestamente, a un dominio relacionado con la administración de la Universidad de Valencia. De hecho, si solo nos fijamos en este detalle al revisar la cabecera del mensaje, podemos observar como aparece la fecha de envío y esa dirección de email relacionada, supuestamente, con la citada universidad.

Sin embargo, sabemos de sobra que la suplantación de identidad en el correo electrónico por parte de los delincuentes está a la orden del día desde hace ya varios años. Cualquiera que quiera comprobar la dirección real de envío del mensaje puede revisar con detalle su cabecera y comprobará que la dirección real desde la cual se envía contiene un dominio perteneciente a una empresa vinícola de Georgia.

Lamentablemente, esta comprobación la realizan muy pocos usuarios, y aun a pesar de la mejorable redacción del mensaje, es posible que solo con haber suplantado el remitente y utilizando logos oficiales, los delincuentes hayan conseguido engañar a más de un usuario para que abran el fichero adjunto.

A pesar de esto, es posible que si se cuenta con una solución de seguridad instalada en nuestros equipos y en los servidores de correo, esta amenaza sea detectada antes de que sea demasiado tarde. En este caso, las soluciones de ESET detectan el fichero adjunto como una variante del troyano NSIS/Injector.ASH.

Este tipo de amenazas suelen utilizarse para descargar herramientas de control remoto maliciosas (o RATs por sus siglas en inglés) que son usadas por los delincuentes para robar información como credenciales almacenadas en aplicaciones tales como navegadores de Internet, clientes de correo o clientes FTP, entre otros. Por desgracia, son una amenaza habitual dirigida a empresas españolas y todas las semanas desde hace meses detectamos varios casos similares.

Conclusión

Seguimos viendo como los delincuentes siguen utilizando todo tipo de plantillas de correo para intentar hacer que los usuarios caigan en su trampa, aunque utilicen para ello entidades que se salgan de lo habitual. Por ese motivo hemos de estar prevenidos y evitar pulsar en enlaces y descargar archivos no solicitados, aunque vengan desde remitentes de confianza, contando siempre con una solución de seguridad capaz de detectar y eliminar posibles amenazas.

Josep Albors

Ejemplos de correos usados por los ladrones de información dirigidos a empresas españolas