“Notificación del BBVA”: Adjunto malicioso trata de robar credenciales almacenadas en aplicaciones

A la hora de analizar las muestras que recibimos a diario en nuestros laboratorios resulta especialmente interesante ver la evolución que tienen algunas amenazas con el paso del tiempo. Mientras algunas cambian profundamente sus tácticas, técnicas y procedimientos para poder conseguir nuevas víctimas, otras apenas cambian nada, probablemente porque están convencidas de que van a seguir obteniendo un éxito notable.

De nuevo, un correo suplantando al BBVA

Durante los últimos meses hemos observado varias campañas que se hacían pasar por empresas de todo tipo, así como también por organismos oficiales. Entre todas las plantillas de correo utilizadas, una de las que más veces hemos visto utilizarse por parte de los delincuentes son las que suplantan entidades bancarias. Este tipo de correos no solo se utilizan para casos de phishing, sino que también son usados para propagar amenazas como Emotet o, tal y como vamos a ver hoy, robar información de las aplicaciones instaladas en el sistema.

El vector de ataque inicial es, tal y como viene siendo habitual en estos casos, un correo electrónico que parece provenir desde una dirección perteneciente a la entidad bancaria suplantada, en este caso el BBVA.

En este mensaje se nos indica que hemos recibido una transferencia de dinero a nuestro nombre con fecha de hoy mismo, 1 de diciembre de 2020, y que tanto la información referente a esta transferencia como el número de contacto aparecen en el fichero adjunto (detectado en este caso por las soluciones de ESET como una variante del troyano MSIL/GenKryptik.EXPO). La suplantación de la identidad de la entidad bancaria incluye su logotipo e información comercial, lo que intenta darle una mayor credibilidad.

No obstante, si analizamos la cabecera del mensaje veremos como hay incongruencias con respecto a quien dice enviar el mensaje y de donde se envía realmente. Si bien el remitente y la ruta de retorno parecen pertenecer a un dominio de la entidad bancaria suplantada, al analizar el Identificador del mensaje comprobamos como se ha enviado realmente desde el correo de una productora audiovisual española.

Fichero adjunto malicioso

En el correo viene adjunto un fichero que contiene la amenaza propiamente dicho, pero este fichero intenta ocultar su extensión real presentándose como un archivo comprimido .gz o, como en este caso, un archivo .rar renombrado a .bin, pudiendo revisar su extensión real si revisamos las propiedades del archivo. Esto se hace para tratar de evadir las soluciones de seguridad que los usuarios pudieran tener instaladas en sus sistemas.

Al revisar su contenido vemos que, en su interior, contiene un archivo EXE ejecutable denominado “Notificación de pago.exe”. Este no es el único nombre con el que se ha estado propagando esta amenaza durante el día de hoy y es posible que muchos usuarios hayan recibido estos archivos con nombres tales como “Transferir datos.exe” o similares.

Si el usuario descomprime y ejecuta este archivo estará ejecutando en su sistema una amenaza que roba información de varias de las aplicaciones instaladas en el sistema. En este caso, el objetivo de los atacantes es robar credenciales almacenadas en las aplicaciones objetivo, que suelen ser principalmente navegadores de Internet, clientes de correo electrónico, FTPs y VPNs.

Estas credenciales pueden ser usadas posteriormente por los delincuentes para realizar ataques más elaborados a, por ejemplo, redes corporativas accediendo mediante VPNs. También pueden utilizar las credenciales almacenadas en el correo para enviar mensajes en nombre de la víctima o usar las almacenadas en los navegadores para acceder a alguno de los servicios utilizados por la víctima, ya sean de índole personal o profesional.

Conclusión

Tal y como acabamos de ver, hay delincuentes que no se molestan en evolucionar y confían en un contar con un gancho lo suficientemente poderoso para convencer a sus víctimas que ejecuten la amenaza adjunta al correo. Por suerte, esto también permite que su detección por las soluciones de seguridad instaladas sea más fácil aunque nunca debemos bajar la guardia, desconfiando de este tipo de mensajes no solicitados y sus ficheros o enlaces adjuntos.

Josep Albors

El malware Qbot protagoniza una nueva campaña usando ficheros de Excel adjuntos a emails