Hace solo unos días señalábamos que sería posible acabar con el phishing a través de una seguridad avanzada de DNS. Sin embargo, lo cierto es que el final de este tipo de ciberataque parece muy lejano, a tenor de la continúa sucesión de campañas que lanzan los ciberdelincuentes para perpetrarlos.
Uno de los últimos ejemplos es la campaña que está circulando últimamente y que suplanta la identidad de un gigante de las telecomunicaciones como es Movistar, según ha alertado la compañía de ciberseguridad ESET en una publicación de su blog 'Protegerse'.
El blogpost, firmado por Josep Albors, director de investigación y concienciación de ESET España, advierte que esta oleada de correos electrónicos maliciosos utiliza como gancho una supuesta factura de Movistar con el objetivo de infectar sus dispositivos con un troyano bancario.
"Se trata de una campaña que parece dirigida a países de Latinoamérica pero que, aun así, se ha colado en varios buzones de correo de usuarios españoles, quienes, reconociendo la marca como una filial de Telefónica, puede que sigan las instrucciones y realicen el pago que les indican los delincuentes", subraya Albors.
Además, remarca que no es el único correo con temática relacionada con facturas que han detectado en las últimas horas, ya que han observado otros emails que hacen referencia a un supuesto cobro de impuestos pendientes que estaban dirigidos a usuarios de México, pero que también han llegado a usuarios españoles.
"En ambos casos, se intenta convencer a la víctima de que pulse sobre un enlace incluido en el cuerpo del correo electrónico para descargar la supuesta factura".
Propaga el troyano bancario Mispadu
Si se pulsa el enlace, el usuario es redirigido a una página web creada por los ciberdelincuentes, en la que se muestra una imagen que indica que se va a proceder a la factura en formato PDF y XML. "Sin embargo, los usuarios que procedan a la descarga se encontrarán con que el fichero comprimido solo contiene un archivo HTA y una carpeta con un ejecutable en su interior responsable de la instalación del navegador Google Chrome", explica Albors, agregando que el nombre del fichero utiliza caracteres especiales, "un detalle curioso que no habíamos observado en campañas similares anteriormente".
"En el caso de que el usuario muerda el anzuelo e intente ejecutar el fichero con el nombre de Factura, se iniciará la cadena de ejecución del malware". "En esta cadena de infección, la conexión se utiliza para descargar el payload que contiene el troyano bancario Mispadu, otro viejo conocido a ambos lados del Atlántico", del que ya habíamos hablado en estas páginas.
"Como dato curioso, el servidor usado por los delincuentes para alojar tanto los diferentes componentes de la cadena de infección como el payload ya fue utilizado en otras campañas anteriores analizadas hace unos meses. Esto demuestra, una vez más, que los criminales no tienen problema alguno para reutilizar su infraestructura e, incluso en el caso de las familias de troyanos que nos ocupan, compartirla", apunta Albors.
El director de investigación y concienciación de ESET España cierra su publicación con una conclusión en la que llama a la precaución destacando que este tipo de correos electrónicos maliciosos ponen de manifiesto que los ciberdelincuentes que desarrollan este tipo de troyanos bancarios siguen activos y lanzan periódicamente sus campañas. "Por ese motivo es importante estar informado acerca de las tácticas que utilizan para aprender a identificarlas antes de que sea demasiado tarde, y contar con soluciones de seguridad capaces de detectarlas y eliminarlas".
Finalmente, cabe recordar que esta no es la primera vez que los ciberdelincuentes suplantan a Movistar. De hecho, el año pasado la propia compañía alertó que estaba siendo imitada en otro ciberataque de ingeniería social, que en ese caso se difundía a través de SMS (smishing).