{"id":18581,"date":"2020-05-04T13:01:31","date_gmt":"2020-05-04T19:01:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18581"},"modified":"2020-05-04T13:01:31","modified_gmt":"2020-05-04T19:01:31","slug":"covid-fake-delivery-service-spam-phishing","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/covid-fake-delivery-service-spam-phishing\/18581\/","title":{"rendered":"Nuevas t\u00e9cnicas de phishing durante la cuarentena"},"content":{"rendered":"

Ser\u00eda complicado dar con un \u00e1mbito de la actividad humana que no se haya visto afectado por la pandemia del coronavirus<\/a> <\/strong>y los servicios de env\u00edo<\/strong> urgente no son ninguna excepci\u00f3n. Los flujos de transporte<\/strong> entre pa\u00edses se han visto interrumpidos y empieza a haber escasez de aviones de mercanc\u00edas<\/strong><\/a>, dado que particulares y empresas contin\u00faan solicitando productos tanto de su pa\u00eds como del extranjero. De hecho, se ha disparado la demanda de ciertos art\u00edculos<\/a><\/strong>.<\/p>\n

Este aumento de la demanda est\u00e1 generando que los plazos de env\u00edo<\/strong> aumenten. Como consecuencia, los clientes se est\u00e1n acostumbrando a recibir mensajes de disculpa relacionados con la actualizaci\u00f3n del estado de su pedido. Estos d\u00edas, hemos observado una gran cantidad de sitios falsos<\/strong> y correos electr\u00f3nicos<\/strong> supuestamente de servicios de env\u00edo<\/strong> que aprovechan el tema del coronavirus<\/strong>. Los cibercriminales est\u00e1n utilizando tanto t\u00e1cticas ya comprobadas<\/strong><\/a>, como nuevos esquemas.<\/p>\n

Spam con archivos adjuntos maliciosos<\/h2>\n

Los cibercriminales<\/strong> pueden hacerse pasar por empleados del servicio de env\u00edo para persuadir a las v\u00edctimas a abrir los archivos adjuntos<\/strong> de los correos electr\u00f3nicos. El truco habitual es decir a la v\u00edctima que para recibir un paquete que viene en camino, el destinatario primero debe leer o confirmar la informaci\u00f3n en un archivo adjunto.<\/p>\n

Por ejemplo, un correo electr\u00f3nico de notificaci\u00f3n de entrega<\/strong> en un ingl\u00e9s incorrecto que afirma que no se puede entregar el paquete debido a la pandemia, por lo que el destinatario deber\u00e1 acudir al almac\u00e9n y recogerlo en persona.<\/p>\n

Seg\u00fan afirma el propio correo, la direcci\u00f3n del almac\u00e9n, junto con otro tipo de informaci\u00f3n interesante, se encuentra en el archivo adjunto que, una vez abierto, instala una puerta trasera<\/a> Remcos<\/strong> en la computadora. Entonces, los cibercriminales<\/strong> pueden hacer que el equipo se una a un botnet<\/em><\/strong> o, simplemente, robar los datos o instalar otro programa de <\/strong>malware<\/em><\/strong><\/a>.<\/p>\n

\"Notificaci\u00f3n

Notificaci\u00f3n de env\u00edo falsa.<\/p><\/div>\n

\u00a0<\/p>\n

Los autores de otro correo electr\u00f3nico falso<\/strong> utilizan un truco similar, alegando que la empresa no ha podido entregar el paquete debido a un error de etiquetado. Se solicita a la v\u00edctima que confirme la informaci\u00f3n en el archivo adjunto<\/strong>, que realmente contiene a otro miembro de la familia Remcos<\/strong>.<\/p>\n

\"Esto

Esto criminales fingen ser de una empresa de env\u00edo urgente, pero la direcci\u00f3n los delata.<\/p><\/div>\n

\u00a0<\/p>\n

A veces los cibercriminales<\/strong> introducen im\u00e1genes de documentos en el mensaje para otorgar credibilidad con trucos de spear phishing<\/strong><\/a><\/em>. En el siguiente ejemplo, los cibercriminales a\u00f1adieron una peque\u00f1a imagen al texto del correo electr\u00f3nico. Parec\u00eda un recibo, pero era tan peque\u00f1o que no se pod\u00eda leer y no cambiaba de tama\u00f1o al hacer clic, lo que provoc\u00f3 que el destinatario abriera el archivo adjunto malicioso<\/a><\/strong>, cuyo nombre conten\u00eda \u201c.jpg\u201d.<\/p>\n

Si el cliente de correo electr\u00f3nico del destinatario no muestra la extensi\u00f3n real del archivo, podr\u00edan confundir dicho archivo adjunto con la imagen. En realidad, se trata de un archivo ACE ejecutable<\/strong> que contiene el programa spyware<\/em> Noon<\/strong>.<\/p>\n

Para apresurar a la v\u00edctima de este ataque de phishing durante la cuarentena, los cibercriminales<\/strong> afirman que necesitan la informaci\u00f3n que falta con urgencia para entregar el paquete antes del cierre.<\/p>\n

\"Correo

Correo electr\u00f3nico falso de un servicio de env\u00edo que contiene un archivo con una doble extensi\u00f3n.<\/p><\/div>\n

\u00a0<\/p>\n

Otro tema en los correos electr\u00f3nicos maliciosos<\/strong> que no es nuevo pero que es especialmente relevante en la situaci\u00f3n actual son los retrasos en la entrega. El escenario es totalmente plausible: los estafadores incitan a la v\u00edctima a descargar un archivo adjunto que contiene el troyano Bsymem<\/strong> que, si se ejecuta, permite a los atacantes tomar el control del dispositivo<\/strong> y el robo de datos<\/strong>. La parte final del mensaje incluye una declaraci\u00f3n que afirma que se ha escaneado por una soluci\u00f3n de seguridad<\/a><\/strong> de correo y no se han encontrado archivos o enlaces maliciosos<\/a><\/strong>, con el objetivo de transmitir al destinatario una falsa sensaci\u00f3n de seguridad.<\/p>\n

\"Notificaci\u00f3n

Notificaci\u00f3n falsa sobre una demora en la entrega de un paquete debido al COVID-19.<\/p><\/div>\n

\u00a0<\/p>\n

Muchos cibercriminales simplemente introducen una menci\u00f3n al COVID-19<\/strong> en sus plantillas de correo habituales, pero otras se centran especialmente en la cuarentena por coronavirus<\/a><\/strong> y en la r\u00e1pida expansi\u00f3n de la pandemia.<\/p>\n

Por ejemplo, en uno de los casos, el gobierno ha prohibido la importaci\u00f3n de cualquier tipo de bienes al pa\u00eds, por lo que el paquete se ha devuelto al remitente.<\/p>\n

\"Los

Los cibercriminales afirman que el gobierno ha prohibido la importaci\u00f3n de bienes al pa\u00eds.<\/p><\/div>\n

\u00a0<\/p>\n

El archivo adjunto supuestamente contiene un n\u00famero de seguimiento de pedido para solicitar un reenv\u00edo despu\u00e9s de que disminuyan las restricciones de salud relacionadas con el coronavirus<\/strong>. Pero al abrir el archivo, corres el peligro de instalar la puerta trasera Androm<\/strong>, que concede a los atacantes el acceso remoto a la computadora.<\/p>\n

<\/strong><\/p>\n

Phishing<\/em><\/h2>\n

Los cibercriminales<\/strong> especializados en ataques de phishing<\/a><\/strong> tambi\u00e9n se est\u00e1n aprovechando del caos en el mercado de entregas. Hemos detectado copias muy fieles a la originales de sitios web leg\u00edtimos, as\u00ed como de p\u00e1ginas de seguimiento falsas. Evidentemente, todas ellas hacen menci\u00f3n al coronavirus<\/strong>.<\/p>\n

Por ejemplo, los cibercriminales que se marcan como objetivo las cuentas de los clientes de los servicios de env\u00edo<\/strong> copian al detalle la p\u00e1gina de inicio oficial de la empresa, incluidas las \u00faltimas noticias sobre la pandemia.<\/p>\n

\"Sitio

Sitio web oficial (izquierda) y fuente de phishing que pretende parecerse al sitio web (derecha).<\/p><\/div>\n

\u00a0<\/p>\n

No menos detallado es este clon de otro sitio web <\/strong>de servicios de env\u00edo, que tambi\u00e9n menciona las \u00faltimas noticias sobre el coronavirus.<\/p>\n

\"Recurso

Recurso de phishing hecho para parecerse al sitio web de otro servicio de env\u00edo.<\/p><\/div>\n

\u00a0<\/p>\n

Los autores de este portal falso<\/a><\/strong>, destinado supuestamente al seguimiento de los paquetes, agregaron COVID-19<\/strong> al apartado de derechos de autor. No hay mucha m\u00e1s informaci\u00f3n en la p\u00e1gina: un formulario para introducir credenciales y una lista de servicios de correo electr\u00f3nico \u201csocios\u201d. No hace falta decir que, si introduces las credenciales en esta fuente, esta las env\u00eda directamente a los cibercriminales y el destino del paquete seguir\u00e1 siendo desconocido.<\/p>\n

\"P\u00e1gina

P\u00e1gina falsa de seguimiento de paquetes.<\/p><\/div>\n

\u00a0<\/p>\n

C\u00f3mo no morder el anzuelo<\/h2>\n

En el contexto de la pandemia<\/strong> y la gran cantidad de demoras reales que se est\u00e1n generando en la entrega de los paquetes, los sitios falsos y los correos electr\u00f3nicos<\/strong> tienen una buena probabilidad de \u00e9xito, especialmente si realmente est\u00e1s esperando un paquete o si, por ejemplo, has recibido informaci\u00f3n sobre el env\u00edo en tu correo electr\u00f3nico de trabajo y tienes motivos para pensar que un colega podr\u00eda haber realizado el pedido. Para evitar ser v\u00edctima de estos ataques de phishing durante el coronavirus<\/strong>:<\/p>\n