La suplantación de empresas y servicios de todo tipo es algo habitual cuando se trata de utilizar el correo electrónico para propagar amenazas. Es algo que los delincuentes llevan muchos años usando y que, en pleno 2020, les sigue funcionando bien. Durante los últimos meses hemos visto numerosos ejemplos, y hoy analizamos cómo se está usando la imagen de una conocida red social para tratar de conseguir nuevas víctimas.
Email de Facebook
Debido a la popularidad de esta red social, no es de extrañar que sea una de las favoritas de los delincuentes a la hora de suplantar la identidad de una empresa. Los correos y webs que hemos observado a lo largo de los años han sido de lo más variopinto, pero en esta ocasión los delincuentes han decidido optar por un mensaje directo y que cause alarma en aquellos usuarios que lo reciban.
Si repasamos el cuerpo del mensaje, encontraremos numerosos errores en su redacción que nos deberían hacer sospechar que hay algo extraño en ese correo. Para empezar, existen numerosas erratas en las frases tanto porque se duplican o faltan letras en algunas palabras, o directamente por la falta de coherencia. En todo caso, se puede entender que el mensaje avisa de una supuesta denuncia de una foto publicada en el perfil del usuario por su contenido inadecuado.
Como es muy probable que más de un usuario se preocupe por este hecho, y además en el asunto del mensaje se menciona un posible bloqueo de la cuenta, no sería de extrañar que se pulsase sobre alguno de los enlaces proporcionados en el correo, enlaces que contienen una URL acortada.
Si devolvemos esta dirección web a su formato original, vemos como redirige a un enlace alojado en el servicio en la nube de Amazon y que lleva a un fichero ZIP.
Descarga y ejecución del malware
En el caso de que se acceda al enlace, se nos ofrecerá la descarga o apertura de este fichero comprimido. Esta es otra señal de aviso, puesto que el usuario está esperando ir a su perfil de Facebook para revisar la supuesta fotografía que ha sido denunciada por inadecuada, no descargar un archivo desde un enlace que nada tiene que ver con la red social.
Tal y como viene siendo habitual en muchos de los casos analizados últimamente, y en especial en los relacionados con troyanos bancarios con origen en Latinoamérica, este fichero ZIP contiene en su interior un archivo MSI malicioso que se encarga de ejecutar la primera fase de la cadena de infección establecida por los delincuentes detrás de esta campaña.
Este malware, detectado por las soluciones de ESET como VBS/Kryptik.LU, se encarga de volcar en el sistema un archivo VBS y ejecutarlo. Tras revisar las modificaciones que realiza en el sistema, los indicios apuntan a que estaría centrado en modificar la configuración de Internet del sistema infectado, entre otras cosas. Esto podría utilizarse para, por ejemplo, robar credenciales al acceder a la web de una entidad bancaria tal y como se confirma tras revisar con más detalle la cadena de infección y comprobar que estamos ante una variante del troyano bancario Mispadu.
Conclusión
El uso de plantillas de correo, aunque no estén especialmente bien hechas, puede seguir consiguiendo nuevas víctimas para los delincuentes si estos utilizan un gancho lo suficientemente potente como para atraerlas y lograr que pulsen sobre los enlaces o ficheros adjuntos. Por ese motivo debemos aprender a reconocer este tipo de mensajes para evitar caer en este tipo de trampas, y contar con una solución de seguridad que sea capaz de detectar y eliminar estas amenazas.