“Envío de contrato”: Nueva plantilla de email usada para propagar troyanos bancarios

A la hora de utilizar correos para propagar amenazas, los delincuentes no siempre optan por la opción más elaborada. A veces, una opción más sencilla también surte efecto, y solo hace falta adjuntar un enlace o fichero junto con un par de líneas que llamen lo suficientemente la atención como para que el receptor de ese mensaje se vea suficientemente intrigado como para caer en la trampa.

Envío de contrato

Un buen ejemplo de esta táctica es el correo que hemos recibido durante la pasada madrugada y que hace referencia al supuesto envío de un contrato. En este correo no se nos indica a qué tipo de contrato se refiere, ni desde qué empresa se envía. Tan solo se nos proporciona un enlace desde donde descargar un archivo, algo bastante sospechoso y que debería activar varias alarmas.

En caso de que se pulse sobre el enlace proporcionado en el correo, se realizará una conexión con un servidor controlado por los delincuentes y desde donde se procederá a la descarga de un archivo Zip. En su interior, tal y como viene siendo habitual en las campañas protagonizadas por varios troyanos bancarios analizados durante los últimos meses, encontramos un archivo MSI, responsable de realizar la primera fase de esta infección.

Este archivo es identificado por las soluciones de ESET como una variante del troyano Win32/TrojanDownloader.Delf.CYA, y su funcionalidad es contactar con otra URL para descargar el troyano bancario propiamente dicho.

En esta ocasión nos encontramos ante una nueva variante del troyano bancario con origen en América Latina Grandoreiro, que junto con Mekotio es, sin duda alguna, uno de los protagonistas de lo que llevamos de año en lo que respecta a amenazas dirigidas a usuarios españoles.

En cuanto a los objetivos de esta campaña, parece que los delincuentes se han centrado en conseguir víctimas de México y España, o al menos eso se deduce del informe generado por el Sistema de Inteligencia de Amenazas de ESET.

Recordemos que cada víctima conseguida por estas campañas es un usuario que puede ver como los delincuentes acceden a su cuenta bancaria y sustraen importantes cantidades de dinero, por lo que estos troyanos bancarios son un problema realmente grave para muchos de los usuarios afectados.

Conclusión

A pesar de no utilizar una plantilla de correo especialmente elaborada, es más que probable que consigan nuevas víctimas con esta campaña. Por ese motivo, debemos estar preparados para reconocer este tipo de correos maliciosos, desconfiando de enlaces y adjuntos no solicitados y contando con soluciones de seguridad que sean capaces de identificar y eliminar estas amenazas antes de que puedan infectar nuestro sistema.

Josep Albors

Emotet reactiva sus campañas e incluye a España entre sus objetivos