Llega final de mes y las campañas de correos maliciosos con supuestas facturas se intensifican

Se acerca el final de mes y eso significa que se acumula el trabajo en los departamentos de administración de muchas empresas, empresas que, si no andan con cuidado pueden ser víctimas de alguna de las múltiples campañas de correos con supuestas facturas que, en realidad, contienen algún tipo de código malicioso.

Factura electrónica desde ¿una organización gubernamental?

Entre los muchos correos legítimos que se deben estar acumulando en las bandejas de entrada de empresas españolas de todos los tamaños, muy probablemente haya unos cuantos que hagan referencia a facturas pendientes de pago que provienen de remitentes sospechosos. Incluso es posible que algunas empresas hayan recibido un correo como el que mostramos a continuación durante los últimos días.

Si nos fijamos en él, observamos cosas interesantes, empezando por el remitente, cuya dirección de correo contiene un dominio supuestamente gubernamental que correspondería al Gobierno de España. En realidad, esto nos es más que otro intento de suplantación para hacer pasar correos de este estilo como legítimos y conseguir así nuevas víctimas. De hecho, si nos fijamos bien podemos observar como se menciona en ese dominio de correo la palabra “prefeitur”, que corresponde a la palabra “prefectura” en portugués, lo que nos da indicios de a que tipo de malware nos podemos estar enfrentando y su procedencia.

Además, podemos observar como algunos caracteres no se han representado correctamente en el asunto del email y la redacción del cuerpo del mensaje deja bastante que desear. Pero además, si pasamos el cursor del ratón por encima del enlace que nos lleva a la descarga de la supuesta factura comprobaremos como el enlace al que nos redirige no parece tener ninguna relación con un organismo gubernamental.

Al pulsar sobre el enlace que se proporciona en el correo vemos como se procede a la descarga de un fichero desde un servidor remoto controlado por los atacantes.

El fichero descargado es un archivo ZIP que, como viene siendo habitual, es usado para contener otros tipos de ficheros. En este caso nos encontramos con un fichero ejecutable MSI, muy usado por familias de malware con origen en Latinoamérica relacionadas con la propagación de troyanos bancarios. Nótese que el tamaño del fichero no es especialmente pequeño, ya que este ejecutable ocupa 17 MB que, aunque sin llegar a los cientos de Megabytes que pueden ocupar algunas muestras como las de Grandoreiro, sigue siendo mucho más espacio que los pocos cientos de KB que suelen ocupar muchas de las muestras de malware actuales.

La ejecución de este fichero inicia la cadena de infección preparada por los delincuentes que contacta con numerosas IPs y dominios hasta descargar la carga útil en forma de fichero DLL que contiene una variante del troyano bancario que las soluciones de seguridad de ESET identifican como Win32/Spy.Ousaban.

Entre las características de este malware encontramos una conexión a un dominio en portugués que ha sido comprometido por los atacantes y que se usa para descargar un pequeño fichero PHP.

Dentro de este fichero observamos como se registra la IP de la máquina que ha accedido a la descarga, junto a un breve mensaje en portugués que significa “Ya registrado”. Muy probablemente los delincuentes quieran tener un registro de todas las IPs que han caido en su trampa y comprobar la efectividad de su campaña.

Al final, la finalidad de este código malicioso no es otra que la de robar credenciales bancarias a los usuarios que acceden a la banca online desde un sistema infectado. De esta forma, los delincuentes están un paso más cerca de vaciar la cuenta bancaria de sus víctimas y solo necesitarían obtener los códigos de verificación que utilizan las entidades para confirmar las transferencias.

Conclusión

El uso de emails maliciosos que utilizan el tema de las facturas como cebo para conseguir nuevas víctimas se ha convertido en algo habitual, pero no por ello ha dejado de ser menos efectivo para los delincuentes. Por ese motivo debemos estar atentos y sospechar de todo correo no solicitado aunque parezca provenir de fuentes de confianza, contando además con soluciones de seguridad que sean capaces de detectar y eliminar estas amenazas.

Josep Albors

¿Harto de que tu ordenador vaya lento? Te damos las 10 claves para mejorar su rendimiento