Si en los últimos días hemos visto como las campañas relacionadas con los troyanos bancarios Grandoreiro y Mekotio seguían produciéndose con cierta frecuencia, durante las últimas horas hemos visto como los correos electrónicos utilizados por los delincuentes para propagar estas amenazas se han multiplicado, detectando incluso alguna plantilla nueva.
Facturas y currículums usados como gancho
Durante las últimas semanas hemos visto como los delincuentes encargados de las campañas de propagación de este tipo de correos han seguido usando plantillas conocidas como las que suplantan a supuestos servicios de administración financieros o, directamente, muestran una supuesta factura electrónica sin incluir ninguna mención a empresas u organismos oficiales.
En esta ocasión, entre la oleada de correos recibidos durante las últimas horas nos encontramos con un par de plantillas que, hasta el momento, no habíamos observado en nuestro laboratorio. La primera de ellas es una variación de la plantilla con una factura electrónica que no va a nombre de ninguna empresa u organismo oficial.
También observamos la utilización de otra plantilla en la que se hace mención al envío de un plan de estudios. Probablemente los delincuentes quieran aprovechar el inicio de las clases a todos los niveles para probar esta nueva plantilla y comprobar si resulta efectiva a la hora de engañar a las posibles víctimas y convencerlas para que descarguen sus amenazas.
Si se pulsa sobre el enlace, los usuarios serán redirigidos a una URL desde donde se descargará un fichero comprimido, tal y como viene siendo habitual en la propagación de estas amenazas desde hace meses.
En el interior de este archivo comprimido encontramos los archivos MSI y GIF típicos en estas campañas. Como viene siendo habitual, el archivo MSI actúa de descargador del troyano bancario Grandoreiro que, en esta ocasión, se encuentra alojado en la web legítima de un estudio de arquitectura de Granada.
El archivo MSi es detectado por las soluciones de seguridad de ESET como una variante del troyano Win32/TrojanDownloader.Banload.YOA.
Otras plantillas de correos
Como hemos indicado al inicio de este artículo, el volumen de correos recibidos durante las últimas horas ha sido más elevado del habitual y eso se ha dejado notar también en las diferentes plantillas utilizadas por los delincuentes. Si los dos correos revisados mostraban plantillas nuevas, los delincuentes no han querido desaprovechar otras plantillas más conocidas y las han utilizado también para propagar nuevas muestras de los troyanos Grandoreiro como Mekotio.
Una de estas plantillas es la que adjunta un supuesto comprobante fiscal relacionado con una Administración Tributaria, aunque sin especificar cual en concreto. Es una plantilla que hemos visto repetirse con alguna variación durante las últimas semanas y que parece seguir teniendo buen resultado para los delincuentes.
Otro de los emails recibidos utiliza la plantilla de Correos aunque, en esta ocasión, se observan errores en la redacción del mensaje como consecuencia de no utilizar una codificación de caracteres compatibles con el idioma español. Hemos de recordar que la mayoría de este tipo de troyanos bancarios provienen de Brasil y los delincuentes tienen el teclado configurado en portugués por lo que, si no vigilan este detalle, es probable que envíen los correos con plantillas defectuosas como la que vemos a continuación.
Aun con esta plantilla que se ve claramente que no se corresponde con el servicio oficial de Correos (por mucho que desde el campo del remitente se asegure lo contrario), es probable que algún usuario caiga en la trampa.
Conclusión
El elevado número de correos electrónicos recibidos durante las últimas horas y las numerosas plantillas utilizadas demuestran que los delincuentes detrás de estas campañas siguen muy activos y centrados en usuarios de países como España. Está en nuestras manos aprender a reconocer este tipo de emails fraudulentos e ignorarlos, además de utilizar una solución de seguridad que sea capaz de identificar y bloquear las amenazas que propagan.