Viagra, spam y vídeos de Youtube

Esta mañana, nada más llegar a la oficina, he procedido, como es habitual, a revisar los correos fraudulentos que solemos recibir y clasificar en nuestro laboratorio. En principio nada fuera de lo normal: los típicos mensajes falsos de voz de WhatsApp, alguna rusa falta de cariño que buscaba novio y algún correo con foto de regalo que esconde el clásico troyano brasileño. Nada fuera de lo normal aparentemente.

No se bien por qué, uno de los cientos de correos que tenía almacenados me ha llamado la atención. Decía provenir de Youtube y su estructura era similar a la utilizada en la propagación de mensajes falsos de WhatsApp. Tampoco parecía especialmente elaborado y hasta el cliente de correo lo detectaba como fraudulento.

correo

Guiado por un sexto sentido investigador, le he dado una oportunidad y he procedido a ver qué se escondía detrás de ese intrigante mensaje del supuesto Youtube. Obviamente, como suele suceder en este tipo de casos, el enlace te envía a una dirección IP que puede almacenar cualquier cosa que el atacante quiera. Por suerte, en este caso tan solo se trataba de una farmacia online donde se venden todo tipo de medicamentos.

web_viagra

Por desgracia, no siempre tenemos la misma “suerte” de encontrarnos con algo relativamente inofensivo como una farmacia online dispuesta a terminar con nuestros problemas de disfunción eréctil por un módico precio y sin ninguna garantía sanitaria. En muchas otras ocasiones, este tipo de enlaces sirven para propagar todo tipo de malware, algo que suele causar bastantes problemas a los usuarios que hacen clic sobre ellos.

Siguiendo con esta investigación y picados por la curiosidad, hemos echado un vistazo a la dirección IP que se estaba usando en el correo electrónico y hemos averiguado algunos datos interesantes.

whois

Como vemos en la información devuelta por el whois, esta dirección IP pertenece a una empresa de Austria, concretamente al mayor operador de televisión por cable de Austria, tal y como afirman en su web. Es muy probable entonces que la IP utilizada por los ciberdelincuentes para montar su farmacia online pertenezca a un usuario de esta empresa que desconozca el uso malicioso que se está haciendo de ella. No obstante, para ir descartando posibilidades, también nos hemos puesto en contacto con ellos para informarles y que tomen las medidas adecuadas.

De hecho, no es la primera vez que está IP alberga algún tipo de enlace malicioso, ya que, utilizando el siempre útil servicio de Virustotal, podemos ver cómo varios motores antivirus llevan tiempo detectando actividad sospechosa en esa IP. Los primeros registros de los que tenemos constancia se remontan a principios del mes de abril del año pasado, por lo que deducimos que ha sido una dirección activamente utilizada en varias campañas durante los últimos meses.

virustotal

Aunque esta campaña en concreto de propagación de enlaces maliciosos no sea especialmente peligrosa, salvo que seamos lo suficientemente inconscientes para comprar medicamentos online, hay que tener en cuenta la rapidez con la que los ciberdelincuentes modifican estos enlaces para conseguir sus oscuros propósitos.

Está en nuestras manos evitar caer en este tipo de engaños si nos paramos a analizar un correo como el que hemos analizado hoy. Una dirección de correo que no se corresponde con el remitente (importante analizar las cabeceras del mensaje), un enlace sospechoso que redirige a una IP desconocida y, sobre todo, un mensaje no solicitado, son motivos más que suficientes para que activemos nuestras alertas y mandemos mensajes como este a la papelera.

Josep Albors

Puerta trasera en modelos de Samsung Galaxy permite el “espionaje” remoto a sus usuarios