Conforme se acerca el final del mes es normal que los asalariados esperen el cobro de la nómina como (nunca mejor dicho) agua de mayo. Esto es algo que los delincuentes no han dudado en aprovechar en una campaña reciente y que, precisamente, consiste en un correo donde se incluye un enlace con información relacionada con nuestro salario y nuestros compromisos con la empresa.
En este correo podemos ver como se hace mención a un supuesto recibo de sueldo que se puede descargar desde el enlace proporcionado. Es este enlace el que actúa como cebo para engañar a los usuarios que reciben el correo, instándoles a pulsar sobre él a pesar de que nos redirige a un dominio que ha sido usado activamente desde hace tiempo para propagar amenazas relacionadas con troyanos bancarios y el remitente del correo no hace mención a una empresa en concreto y se limita a mencionar que viene del departamento de recursos humanos.
Si se pulsa sobre el enlace, seremos redirigidos a una web preparada por los delincuentes con un dominio que trata de suplantar la identidad de la conocida aplicación Acrobat Reader. Además, se muestra una imagen donde se indica la disponibilidad de un supuesto documento que muchos usuarios pensarán que es la nómina a la que hace referencia el email.
Con respecto al dominio usado por los delincuentes, este fue registrado apenas unas horas antes de que empezaran con la campaña de envío de correos maliciosos, tal y como puede comprobarse al revisar la información proporcionada tras lanzar una consulta al respecto.
La siguiente pantalla que se nos muestra en esa web maliciosa es la que indica que ya tenemos listo el supuesto documento, tras lo cual, se procederá a la descarga de un archivo comprimido en el sistema esperando a ser abierto por el usuario.
Respecto a este fichero comprimido, podemos ver como, a pesar del nombre y de que los usuarios que lo hayan descargado estarán esperando algún tipo de documento, en realidad se encuentran ante un archivo de acceso directo de Windows malicioso, responsable de iniciar la cadena de infección de la amenaza.
En lugar de abrir un documento legítimo, la ejecución de este fichero malicioso lanza el intérprete de comandos de Windows (cmd.exe) y éste a su vez ejecuta mshta.exe, una herramienta legítima de Windows que puede descargar y ejecutar scripts desde Internet. El acceso directo está diseñado y ofuscado para que parezca confiable pero, en realidad, solicita código a un servidor controlado por el atacante.
En la imagen anterior podemos observar como los delincuentes vuelven a utilizar el dominio registrado suplantando a Acrobat Reader para alojar los ficheros responsables de ejecutar las diversas fases de la cadena de infección. De hecho, son varios los ficheros de este tipo que se ejecutan durante todo el proceso de ejecución del malware, generando una larga cadena de infección típica de estas amenazas con origen en grupos de ciberdelincuentes brasileños.
El script remoto que se descarga y ejecuta puede ejecutar código adicional en el equipo y modifica claves del registro relacionadas con las zonas de seguridad de Internet, lo que puede debilitar las protecciones del navegador y permitir más operaciones maliciosas (por ejemplo descargar más programas). Para evitar ser detectado, el ataque usa técnicas de ofuscación en la línea de comandos y aprovecha herramientas legítimas del sistema en lugar de utilizar un ejecutable malicioso.
En última instancia se descarga y ejecuta el payload preparado por los delincuentes que, en este caso, trata de robar información del sistema donde se ha instalado, principalmente relacionada con temas financieros como credenciales de banca online o datos de tarjetas de crédito, aunque sin excluir otra información sensible. No hemos logrado determinar exactamente la amenaza que protagoniza esta campaña aunque, por las tácticas y la infraestructura utilizadas es muy probable que nos encontremos ante una nueva campaña de propagación de troyanos bancarios como Casbaneiro, Grandoreiro o similares.
Ante estas amenazas es importante reconocer los mensajes que emplean los ciberdelincunetes para conseguir que bajemos la guardia. Obviamente, todo lo relacionado con dinero suele resultar bastante efectivo y por eso debemos contar también con soluciones de seguridad que sean capaces no solo de detectar estas amenazas sino también de bloquearlas antes de que nos causen un prejuicio económico importante.