Los mensajes de correo fraudulentos que imitan la correspondencia empresarial con archivos adjuntos maliciosos no son novedad. Los hemos observado en el tráfico basura durante los últimos tres años. Cuanto más exacta es la falsificación debido a las técnicas de ingeniería social, más alta es la probabilidad de que la víctima no sospeche nada.
Este phishing (suplantación de identidad) es especialmente peligroso para los empleados de las empresas de venta de mercancías, porque los mensajes de correo con pedidos u órdenes de compra son asunto de todos los días. En ocasiones, incluso a alguien preparado para identificar una falsificación no le será fácil establecer si un mensaje es phishing o una orden de compra legítima de un cliente. Por lo tanto, la cantidad de correos convincentes pero falsos sigue en aumento. No son tan frecuentes como el spam malicioso ordinario, pero ello se debe a que fueron diseñados por un propósito particular y se enviaron a direcciones específicas.
En semanas pasadas, los cibercriminales han aprovechado el brote de coronavirus para darle a sus misivas una credibilidad adicional. Los mensajes de correo a menudo mencionan problemas de entrega relacionados con el virus, lo que invita al destinatario a preguntarse de qué entrega se trata. En otros casos, los ciberatacantes utilizan la pandemia para insistir en la necesidad de procesar un pedido urgente, puesto que sus socios habituales no pueden entregar los bienes a tiempo. En cualquier caso, el objetivo es hacer que la víctima abra un archivo adjunto malicioso. Como pretexto, se echa mano de trucos habituales de phishing que normalmente solicitan revisar la información de envío, los detalles de pago, una orden de compra o las existencias del producto.
Entrega atrasada
Los estafadores alegan que el COVID-19 ha provocado que las entregas de bienes se pospongan. Son tan amables de incluir archivos adjuntos con la información de entrega actualizada, junto con nuevas indicaciones. En particular, preguntan si la fecha de entrega es adecuada, con lo cual instan al destinatario a abrir el archivo adjunto, que a primera vista tiene el aspecto de un recibo en formato PDF.
Orden urgente
Los estafadores alegan que, debido al brote de coronavirus, sus proveedores chinos no pueden cumplir con sus obligaciones. Suena demasiado convincente bajo las actuales circunstancias. Para evitar decepcionar a sus clientes, supuestamente ellos buscan colocar con urgencia una orden de compra de bienes (que no detallan en la misiva) a la empresa adonde labora el destinatario. ¿Qué negocio puede resistirse una oportunidad tan repentina?
Pero ¡oh, sorpresa! Los archivos adjuntos no contienen dicha orden de compra, sino el archivo Backdoor.MSIL.NanoBot.baxo. Al iniciarlo, este ejecuta un código malicioso dentro del proceso legítimo de RegAsm.exe (de nuevo, en un intento por evadir los mecanismos de defensa). Esto provoca que los atacantes ganen acceso remoto a la computadora de la víctima.
Otra orden de compra urgente
Esta es una variante de la anterior. De nuevo, el cibercriminal menciona que un proveedor chino ficticio está teniendo problemas con la entrega e investiga los costos y términos de entrega para los bienes detallados en un archivo DOC adjunto.
El uso de un archivo DOC tiene un motivo específico. Dentro se halla un exploit dirigido contra la vulnerabilidad CVE-2017-11882 en Microsoft Word (nuestras soluciones la detectan como Exploit.MSOffice.Generic). Cuando lo abres, descarga y ejecuta el archivo Backdoor.MSIL.Androm.gen. El objetivo, como todas las puertas traseras, es ganar acceso al sistema infectado.
¡No hay tiempo que perder!
Este esquema está dirigido a empresas que están sufriendo interrupciones en el flujo de trabajo debido a la pandemia de coronavirus (que es de gran magnitud y sigue en aumento). Los estafadores presionan al destinatario para que actúe, mientras que expresan la esperanza de que la empresa pueda continuar con el trabajo después de las alteraciones causadas por el coronavirus.
En lugar de la orden de compra, el archivo adjunto contiene un archivo malicioso: Trojan.Win32.Vebzenpak.ern. Al iniciarlo, este ejecuta un código malicioso dentro del proceso legítimo de RegAsm.exe. Nuevamente, el objetivo es darles a los atacantes acceso remoto a las máquinas comprometidas.
Cómo protegerte de los archivos adjuntos maliciosos enviados por correo electrónico
Para evitar que los cibercriminales infiltren un troyano o instalen una puerta trasera bajo la forma de un archivo adjunto, sigue estos consejos:
- Examina cuidadosamente las extensiones de los archivos adjuntos. Si contienen un archivo ejecutable, las probabilidades de que sea peligroso son cercanas al 100%.
- Verifica si la empresa del remitente realmente existe. En estos tiempos, incluso la más pequeña de las empresas tiene una presencia online (por ejemplo, cuentas en redes sociales). Si no encuentras información, no hagas nada. En cualquier caso, probablemente no valga la pena hacer negocios con dicha empresa.
- Verifica que los detalles del campo de remitente y la firma automática Por raro que suene, los cibercriminales a menudo olvidan este detalle al falsificar correspondencia.
- Recuerda que los cibercriminales recolectan información sobre tu “empresa” de fuentes públicas para así poder engañarte con técnicas de spear phishing. Así que si albergas dudas de que el correo electrónico contenga información de buena fe, ponte en contacto con la empresa para comprobar que ellos hayan enviado el mensaje.
- Y lo más importante, asegúrate de que tu empresa usa una solución de seguridad confiable tanto a nivel de las estaciones de trabajo como del servidor de correo electrónico. Y asegúrate de que reciba actualizaciones periódicamente y use bases de datos recientes. De otro modo, será difícil determinar si un archivo adjunto enviado por correo electrónico es nocivo, especialmente con respecto a los documentos de Office.