Cuando analizamos malware en el laboratorio de ESET en Ontinet.com estamos muy atentos a las “campañas” o “modas” de los ciberdelincuentes a la hora de propagar sus amenazas. Durante los últimos meses hemos analizado muchos ejemplos de amenazas como Sirefef o el conocido como “Virus de la policía” (o alguna de sus variantes como el de la SGAE), pero, aun así, seguimos viendo cómo amenazas más “clásicas” vuelven a aparecer una y otra vez.
Uno de los métodos más usados consiste en suplantar a una empresa u organización conocida para convencer al usuario de que pulse sobre un enlace o ejecute un fichero adjunto. Hemos visto cómo se han suplantado empresas como Amazon, redes sociales como Facebook o, como vamos a comentar hoy, casos más localizados como Correos.
No es la primera vez que hablamos de una situación similar en este blog. De hecho, a nuestros lectores no deberían sorprenderles este tipo de casos. El más reciente llegó a nuestras bandejas de entrada en los últimos días y pretendía hacerse pasar por una notificación de Correos tras la imposibilidad de poder hacer entrega de un paquete que, supuestamente, estaríamos esperando.
Si nos fijamos, podemos reconocer ciertos patrones analizados con anterioridad, como la utilización de un dominio real para enviar el correo usando técnicas de spoofing de la dirección del email para hacer creer al usuario que el remitente es una fuente confiable.
Seguidamente tenemos un asunto interesante que despierta la curiosidad del receptor del mensaje, y es que no es nada extraño estar esperando un paquete, especialmente si estamos aprovechando las rebajas para realizar nuestras compras online. Se añade también la “necesidad” de abrir el fichero adjunto para obtener la etiqueta que nos permitirá obtener el esperado paquete.
Por último, tenemos el fichero adjunto en sí, presentado en un archivo comprimido, que a su vez contiene un fichero ejecutable con el malware:
El malware que estamos recibiendo en estos correos es detectado sin problema por nuestras soluciones de seguridad, aunque nunca debemos confiarnos, sino sospechar desde el primer instante cuando veamos un correo parecido, evitando abrir ficheros adjuntos potencialmente peligrosos y poner nuestro sistema en peligro.
Esta nueva campaña de propagación de malware recupera técnicas antiguas cuya tasa de éxito no debería ser elevada, pero si se siguen usando es porque cuestan muy poco de preparar y aún hay el suficiente número de usuarios que muerden el anzuelo.
Como siempre, la mejor protección es la atención que prestemos cuando nos encontramos un correo electrónico de este tipo. Si no estamos esperando ningún paquete, deberíamos descartar estos correos de forma inmediata, y en caso de estar esperándolo, siempre es mejor asegurarnos antes en la propia web de Correos o llamando a su servicio de atención al cliente.
Josep Albors