A pesar de
no ser la primera vez, los ciberdelincuentes han decidido que la imagen de la
entidad bancaria RBS vuelva a ser utilizada en una campaña de correos spam,
haciendo creer al usuario que ha existido un problema con alguna operación que
se ha efectuado sobre alguna cuenta.
Detalle del SPAM
- En el cuerpo del mensaje se puede ver como se habla al usuario sobre un incidente en una cuenta que aún no está resuelto y que ha influido negativamente en la realización de pago, provocando que este no se haya realizado. Al usuario se le indica una referencia con la que se identifica ese problema y se insta al usuario a observar el archivo adjunto en el que a priori existen más detalles sobre las causas que han provocado la parición del problema.
- Para finalizar con el cuerpo del mensaje se adjunta una firma en el que se puede leer cierta información referente a la entidad y a la persona de contacto.
- El usuario se encuentra con un archivo comprimido con el nombre de IM03393549.zip. Dentro de este se encuentra otro archivo que tiene el nombre de IM008082014.scr. Lo que se hace creer al usuario es que en dicho documento adjunto se encuentra la información relacionada con el problema, esperando encontrar un fichero PDF o uno correspondiente por ejemplo a Microsoft Word. Sin embargo, esto no es así y el archivo es un ejecutable que al ser abierto. GData la denomina como Trojan.Downloader.JQYP y tal y como ya suele ser habitual, el malware intenta conectarse a unas direcciones después de haber sido ejecutado:
- 94.23.247.202/n0808uk/SANDBOXA/0/51-SP2/0/
- 94.23.247.202/n0808uk/SANDBOXA/1/0/0/
- quesoslaespecialdechia.com/Scripts/n0808uk.zip
- energysavingproductsinfo.com/wp-content/uploads/2014/08/n0808uk.zip
- Aunque apenas se conocen muchos detalles sobre él hasta este momento, todo parece indicar que se trata de alguna variante de Cryptowall, ya que en los equipos infectados no se puede acceder a los archivos. La ejecución del archivo adjunto no supone el cifrado de estos, por lo tanto, resulta evidente que conectando a esas direcciones se realiza la descarga de las instrucciones y de nuevas amenazas malware.
