Falso correo de Facebook intenta infectarnos por partida doble

De los cientos de correos que recibimos diariamente en nuestro laboratorio para su clasificación y posterior análisis, siempre hay alguno que nos llama la atención por algún motivo u otro. En esta ocasión vamos a comentar uno por lo especialmente insistente que era intentando infectarnos y además por los destinatarios a los que iba dirigido.

Normalmente, la mayoría de correos que analizamos van dirigidos a alguna de las direcciones corporativas públicas que tenemos en la empresa o bien terminan en una honeypot que tenemos para ir recopilando muestras. En este caso la situación era diferente, ya que tenía como destinatarios a cuatro empleados de la empresa y utilizaba el correo que cada uno de ellos tiene asignado.

correoTampoco es que el correo inspirase mucha confianza tras un primer vistazo y menos aún el fichero adjunto que las soluciones de seguridad de ESET bloquearon e identificaron como una variante del troyano Win32/Kryptik.BYHR.

Hasta aquí, salvando el detalle de que el mensaje iba dirigido a ciertas personas de la empresa, nada que destacar del típico mensaje suplantando una empresa de confianza como es Facebook y adjuntando un archivo malicioso. Pero en esta ocasión, los ciberdelincuentes no querían tirar la toalla tan fácilmente y, además, en el mismo correo adjuntaban el siguiente mensaje:

correo2

Este tipo de mensajes ya lo habíamos visto con anterioridad y dicen contener una foto o mensaje importante para nosotros enviado a través de Facebook. Obviamente, es un engaño para convencer al usuario de que pulse sobre el enlace proporcionado. Este enlace aloja una variante de algún malware (en este caso, el mismo que se adjuntaba con el correo) pero, si bien en anteriores ocasiones se utilizaban webs legítimas para alojar el código malicioso, en esta ocasión los ciberdelincuentes han optado por la vía rápida y lo han subido a una cuenta de Dropbox.

dropboxSi somos lo suficientemente incautos como para descargar este fichero, nos encontraremos con un archivo comprimido que contiene la muestra de malware. No obstante, si contamos con un antivirus actualizado y capacidad de reacción proactiva muy probablemente impedirá la descarga de este fichero, evitando así que nuestro sistema quede infectado.

descarga

Ninguna de las técnicas elaboradas es especialmente avanzada pero, de forma combinada como en este caso, podría llegar a conseguir su objetivo de infectar a algún usuario. Lo importante es recordar la importancia de revisar detalladamente los correos que recibimos para evitar que nos engañen y descarguemos un código malicioso. Cualquier capa de seguridad adicional es bien recibida, pero lo principal es evitar caer en este tipo de trampas haciendo uso del sentido común y de la experiencia adquirida a la hora de detectar este tipo de amenazas.

Josep Albors

Enlaces relacionados:

Ojo con los fraudes que usan Facebook y Twitter

Falsa imagen para robar identidades en Facebook

Cómo conseguir más «Me gustas“ en Facebook y seguidores en Twitter