“Notificación de transferencia de dinero enviada a su favor” así tratan de engañarte para robarte las contraseñas

Recibir un ingreso de dinero en nuestra cuenta casi siempre es una buena noticia para la mayoría de nosotros. Si además estamos esperando algún ingreso de este tipo, por ejemplo, relacionado con nuestra declaración de la renta, es probable que si recibimos un correo indicando una transferencia en nuestra cuenta no nos pongamos alerta, algo de lo que los delincuentes tratan de aprovecharse.

Correo de CaixaBank

Como muchas otras amenazas similares, el correo electrónico es el vector de ataque preferido por los delincuentes para propagar esta amenaza. En esta ocasión vemos como utilizan de forma fraudulenta el nombre de la entidad CaixaBank, de forma que si un usuario se fija solamente en el remitente, pensará que se trata de un correo legítimo enviado desde este banco. Es importante recordar que estos remitentes se pueden falsificar de forma muy sencilla y que solo un análisis en profundidad de los datos contenidos en la cabecera del correo nos dirá de donde proviene realmente.

En este correo podemos observar como se hace referencia a un fichero adjunto donde, supuestamente, se detalla la información de la transferencia. Esto no es sino el gancho que utilizan los delincuentes para tratar de conseguir que los usuarios que reciben este tipo de emails descarguen y ejecuten el código malicioso en su sistema. Si echamos un vistazo al fichero adjunto, comprobaremos que se trata de un archivo ejecutable, algo que no presagia nada bueno.

De nuevo nos topamos con una amenaza recurrente como es el infostealer o ladrón de información Agent Tesla, un código malicioso especializado en el robo de información y que es bastante habitual encontrarnos en buzones de entrada de empresas españolas bastante frecuentemente. Aquellos usuarios que tengan una solución de seguridad eficaz y actualizada no deberían tener problemas para detectar y eliminar esta amenaza antes de que comprometa la seguridad del sistema y las contraseñas de varios servicios de uso cotidiano.

Si por algo se caracterizan familias de infostealers como Agent Tesla, Formbook y similares es por su capacidad de robar credenciales almacenadas en cierto tipo de aplicaciones de uso habitual en las empresas. Entre estas aplicaciones que son objetivo de estas amenazas encontramos, por ejemplo, clientes de correo, navegadores de Internet, clientes FTP o VPNs, entre otros. Las credenciales robadas son utilizadas posteriormente en ataques más dirigidos o vendidas a peso en la dark web para que las aprovechen otros ciberdelincuentes.

Además, algo que caracteriza a esta amenaza son sus varias formas de exfiltrar la información robada de los sistemas que consigue infectar. En esta ocasión, los delincuentes han optado por utilizar un servidor de correo comprometido previamente para enviarse toda la información recopilada de la víctima, servidor que, aparentemente, pertenece a una empresa colombiana.

En lo que respecta al impacto de esta campaña, si revisamos los datos proporcionados por la telemetría de ESET en valores relativos, observaremos como España es el principal objetivo de esta campaña, aunque también se han detectado muestras en mucha menor cantidad en otros países europeos como Francia, República Checa, Polonia y Hungría.

Estos datos confirman las tendencias del malware en nuestro país durante los últimos meses, donde Agent Tesla se ha alzado con el primer puesto en el ranking de detección dentro de la categoría de infostealers. Esta información puede revisarse de forma global y compararla con nuestros apuntes e información de primera mano relacionada con las amenazas más detectadas en nuestro país en el informe de ciberamenazas que recientemente hemos publicado.

Conclusión

Revisando la trayectoria de los últimos años, donde este tipo de malware ha sido uno de los protagonistas destacados en España, no esperamos que la situación cambie a corto plazo, por lo que es muy recomendable aprender a reconocer las tácticas usadas por los delincuentes y prestar especial atención a las plantillas de correos que utilizan, sospechando de cualquier email no solicitado, independientemente de su remitente. Así mismo, contar con soluciones de seguridad nos permitirá bloquear estas amenazas incluso antes de que lleguen a nuestra bandeja de entrada, evitando así tener que perder nuestro valioso tiempo separando el correo legítimo del potencialmente peligroso.

Josep Albors

“Solicitud de cotización” Así suplantan los delincuentes a Microsoft OneDrive para robarte las credenciales