El correo electrónico sigue siendo uno de los principales vectores de ataque usados por los delincuentes para tratar de obtener nuevas víctimas. Buena prueba de ello son las continuas campañas lanzadas por varias amenazas como los troyanos bancarios procedentes de Latinoamérica, los envíos masivos realizados por la botnet responsable de Emotet o, como en el caso que analizamos hoy, las que propagan malware especializado en el robo de información.
Correo de TNT Express
Con el aumento de los pedidos a tiendas online de los últimos meses, provocado por la pandemia de la COVID-19, no es de extrañar que las empresas de mensajería y transporte de paquetes sean uno de los ganchos preferidos de los delincuentes para atraer a posibles víctimas. Es el caso del siguiente correo que intenta suplantar la identidad de la empresa TNT Express.
Como vemos, en el email no se observa ningún logo de la empresa pero sí que suplantan su identidad al incluir un dominio perteneciente a dicha empresa como remitente. Tanto en el asunto como en el cuerpo del mensaje se menciona a una supuesta factura electrónica adjunta al correo, fichero que tiene la extensión de archivo comprimido ACE.
No obstante, si intentamos abrir dicho fichero veremos como, en lugar de contener un archivo ofimático como un Word, Excel o PDF, en su interior encontramos un fichero ejecutable EXE.
Este archivo es en realidad un código malicioso que las soluciones de seguridad de ESET identifican como una variante del troyano MSIL/GenKryptik.ERZB. Esta familia de troyanos se caracteriza por robar información como las credenciales del usuario almacenadas en programas instalados tales como navegadores de Internet, clientes de correo o FTP para, posteriormente, venderlas o usarlas para acceder remotamente a información confidencial del usuario o de la empresa donde trabaja.
Conclusión
Aunque este tipo de campañas se vienen produciendo desde hace meses y es probable que nuestra solución de seguridad identifique los ficheros adjuntos como maliciosos, aun quedan muchos usuarios que pueden ser víctimas de este tipo de amenazas si no prestan la debida atención a estos correos y no cuentan con una protección adecuada. Por ese motivo, debemos andar con pies de plomo y desconfiar de cualquier email no solicitado, aunque sea remitido por una empresa u organización de confianza.