La suplantación de empresas, marcas, organismos oficiales y webs fácilmente reconocibles para la mayoría de usuarios, es una técnica usada constantemente por los creadores de malware. En este mismo blog hemos analizado diversas suplantaciones de empresas como Amazon, la Agencia Tributaria o, más recientemente, la mismísima Guardia Civil.
El caso que nos ocupa hoy es otra suplantación de una empresa famosa como es Apple, más concretamente de su tienda iTunes. Hemos recibido un correo en nuestro laboratorio que suplanta con bastante acierto una factura de esta tienda online y que adjunta varios enlaces sobre los que pulsar.
Si bien muchos usuarios ignorarán este correo por no tener cuenta en iTunes, aquellos que sí dispongan de una y además estén al corriente de los recientes fallos de seguridad de la misma, es más que probable que pulsen sobre alguno de los enlaces ofrecidos para intentar evitar que esa factura se cargue en su cuenta. Para asegurarse de que se maximiza el número de víctimas, los creadores de este correo han preparado todos los enlaces (incluido el del correo del destinatario) para que apunten a una única web.
Esta web preparada especialmente para recibir a todos aquellos usuarios que pulsen sobre los enlaces del correo, muestra una imagen indicando que se necesita un actualización de Adobe Flash Player y, seguidamente, intenta descargar un archivo ejecutable, de nombre flash_player_07.78.exe.
Obviamente, el contenido de ese archivo no es lo que parece y, si disponemos de un antivirus actualizado y capaz de detectar estas amenazas, evitaremos que nuestro sistema quede infectado con una amenaza que las soluciones de seguridad de ESET detectan como Win32/SpyZbot.ZR.trojan.
Como hemos observado en este análisis y otros realizados recientemente por el laboratorio de ESET en Ontinet.com, el envío de spam con adjuntos o enlaces que descargan archivos maliciosos sigue siendo uno de los vectores de propagación de malware más usado. Que los esfuerzos de los ciberdelincuentes se centren actualmente en propagar amenazas usando páginas web infectadas no debería hacernos bajar la guardia ante las amenazas más clásicas.
Josep Albors