Correo electrónico con enlaces maliciosos

Cuando en una conversación surge el tema del robo de credenciales, lo que tiende a mencionarse primero son los mensajes por correo electrónico con enlaces de phishing. Sin embargo, estos mensajes representan solo una forma de obtener los nombres de usuario y las contraseñas de varios servicios en línea. Los estafadores aún envían enlaces a spyware frecuentemente. Uno de sus trucos para disfrazar estos enlaces es incluir una imagen que simule ser un archivo adjunto.

Correo electrónico con enlaces maliciosos

Hoy analizamos un ataque dirigido por correo electrónico. Los cibercriminales en cuestión crearon un correo electrónico creíble al enviar una RFQ, o solicitud de cotización, a un proveedor de servicios industriales y distribuidor de equipo, con los requerimientos adjuntos.

Las empresas industriales reciben estas solicitudes con bastante frecuencia. Los gerentes de cuentas, por lo general, abren el documento de requerimientos y preparan una propuesta, por lo que pasan por alto cualquier pequeña discrepancia como diferencias entre el nombre de dominio y la firma del remitente. Lo que nos interesa de esto es cómo los cibercriminales logran que los destinatarios ejecuten el malware. Así se ve el correo electrónico.

Una carta con un enlace a malware

¿Ves el documento PDF adjunto? Bien, lo que estás viendo no es para nada un archivo adjunto. Outlook no muestra de esta manera los archivos adjuntos en los correos electrónicos; por lo que hay varias diferencias:

• El ícono del archivo adjunto debería coincidir con la aplicación asociada a archivos PDF de tu sistema. Si no es así, entonces no es un archivo adjunto o lo que está adjunto no es un archivo PDF.
• Los detalles del archivo (nombre, tipo, tamaño) deberían aparecer al pasar el cursor sobre un archivo adjunto real. No deberías ver un enlace a algún sitio web sospechoso.
• La flecha junto al nombre del archivo debería estar resaltada y funcionar con un botón que muestra un menú contextual.
• El archivo adjunto debería aparecer en un bloque independiente, no en el cuerpo del correo electrónico, algo así:

Auténtico archivo adjunto PDF

De hecho, este objeto disfrazado de un archivo adjunto PDF es solo una imagen cualquiera. Si intentas seleccionar partes del mensaje con tu mouse o utilizar el comando para seleccionar todo, será muy evidente.

Una imagen que simula ser un archivo adjunto PDF

La imagen oculta un hipervínculo a un programa malicioso. Al hacer clic en el enlace se descarga un troyano spyware.

Carga del ataque

En este caso en particular, el enlace malicioso apuntaba a un archivo nombrado Swift_Banco_Unicredit_Wire_sepa_export_000937499223, el cual contenía un cargador para un troyano que Kaspersky identifica como Torjan-Spy.Win32.Noon, un troyano spyware muy común  que se conoce desde 2017 y que permite que los atacantes roben contraseñas y otra información de formulario de entrada.

Cómo mantenerse seguro

Para evitar que los troyanos spyware dañen a tu empresa, instala una solución de seguridad de confianza en todos tus dispositivos con acceso a Internet a fin de evitar que se ejecute malware.

Además, capacita a tus empleados para detectar los trucos de los cibercriminales por correo electrónico.