Estamos acostumbrados a recibir todo tipo de correos electrónicos maliciosos a diario. Algunos intentan convencernos de que son nuestra entidad bancaria y quieren robarnos las claves de acceso a nuestro servicio de banca online usando técnicas de phishing, mientras que otros adjuntan ficheros maliciosos que pretenden infectar nuestro sistema, por ejemplo, con alguna variante de ransomware.
Repitiendo la jugada
Precisamente, hace un par de semanas analizábamos un caso de falsas facturas que propagaban ransomware y que estaban afectando especialmente a usuarios españoles. Estas facturas venían adjuntas a un correo redactado en español que, con un escueto “Un saludo”, nos invitaban a abrir el fichero infectado.
Tras la recepción de correos similares durante el día de ayer, parece que los delincuentes que están detrás de esta campaña de propagación de ransomware quieren volver a probar suerte. Sin embargo, esta vez han acotado su público objetivo, puesto que el mensaje tiene la particularidad de estar bien escrito en catalán.
Si nos fijamos en el correo en sí observamos varios detalles. Para empezar, se ha suplantado la identidad del remitente puesto, que ni el Message ID parece coincidir con el proveedor del correo electrónico ni la dirección de respuesta tiene nada que ver. Es más que probable que se haya querido dar una sensación de cercanía utilizando nombres y apellidos comunes y proveedores de servicios de correo electrónico que resulten familiares a los usuarios en Cataluña y España.
El cuerpo del mensaje es algo menos escueto que el simple saludo del caso analizado anteriormente, y hace referencia a una supuesta factura adjunta al email que se nos presenta dentro de un archivo comprimido .zip. Sin embargo, si abrimos este archivo veremos como, en lugar de una factura en .pdf, encontramos un ejecutable.
Este ejecutable es un código malicioso que las soluciones de seguridad de ESET identifican como una variante de Win32/Injector.CNOM. De la misma forma que la variante analizada hace un par de semanas, este malware se encarga de descargar y ejecutar otros códigos maliciosos, siendo en este caso un ransomware de la familia Filecoder.
Si lo comparamos con otras variantes de ransomware propagadas utilizando emails en español observamos que una variante muy similar lanzada apenas un día antes (1 de diciembre) ha conseguido elevados porcentajes de infección en España. Por su parte la variante que utiliza el email en catalán no ha registrado aun porcentajes de infección significativos
¿Es rentable para los delincuentes acotar sus objetivos?
Muchos se preguntarán el motivo que hay detrás de una campaña de envío de correos maliciosos en catalán pudiendo usar otras lenguas más extendidas, como el español o el inglés, y tener así la posibilidad de conseguir más víctimas potenciales. Precisamente en esta segmentación puede radicar el éxito de una campaña de este tipo.
Los usuarios se están acostumbrando a recibir mensajes de este tipo y, aunque aún de manera lenta, van reaccionando frente a nuevas oleadas de emails maliciosos. Sin embargo, si algún catalanoparlante recibe este correo, su instinto le animará a confiar en él, puesto que es extraño ver campañas de este tipo en lenguas que no sean las mayoritarias en un país.
A pesar de esto, tampoco es la primera vez que se reciben emails maliciosos en catalán. Hace un par de años analizábamos un caso de phishing elaborado en catalán que suplantaba a la entidad Catalunya Caixa. Tampoco se puede despreciar los millones de usuarios que hablan esta lengua, que supera a lenguas oficiales en otros países de su entorno, y que pueden suponer una buena cantidad de víctimas potenciales para los delincuentes que desarrollan estas amenazas.
Conclusión
Independientemente del lenguaje en el que recibamos este tipo de correos, hemos de estar atentos para evitar caer en este tipo de trampas. Muchas veces, la seguridad de nuestro sistema está a un par de clics de ratón de ser comprometida y hemos de aprender a reconocer estos riesgos para no tener que lamentarnos a posteriori.