Se
están utilizando cuentas de correo legítimas de Intuit para distribuir malware
entre los clientes y otros usuarios. El malware utilizado es una variante de
Cryptolocker conocida con el nombre de Cryptowall.
En
el correo se ve como se insta al usuario a comprobar la información de la
cuenta antes de que el cargo sea realizado y de comprobar los detalles de las
nóminas para verificar que todo se encuentra correcto. Para realizar esto se
puede recurrir al archivo adjunto que se encuentra disponible.
Sin
embargo, el archivo adjunto no contiene archivo PDF alguno, ni corresponde a las aplicaciones contenidas
en Microsoft Office.
El
archivo adjunto posee el malware Cryptowall
- A pesar de no tener ningún tipo de formato el cuerpo del correo, el usuario tiene muy complicado identificar que el correo es falso, sobre todo porque los ciberdelincuentes se han adueñado de cuentas de correo legítimas y están haciendo uso de estas para enviar el correo con el contenido malicioso.
- En el momento que el usuario ejecuta Remittance.exe, ubicado en un archivo comprimido, se procederá a la instalación del malware en el equipo del usuario, funcionando únicamente en los sistemas operativos Windows. El malware se encarga de cifrar casi todos los archivos del equipo, solicitando una recompensa si se desea recuperar los archivos que han sido cifrados. Pagar esta recompensa no implica que se recuperen, por lo que resulta mejor restaurar el equipo o bien formatearlo por completo.