Son muchos los correos fraudulentos
que pueden llegarnos al cabo del día: refiriéndose a falsas facturas, a recibos
simulados, instándonos a descargar los datos necesarios para revisar la factura
y la supuesta cantidad que "debemos". En las últimas campañas de
envíos masivos de correos hemos detectado distribuciones de ransomware
dirigidas a usuarios de habla hispana, sin embargo en esta ocasión los sensores
de Hispasec han registrado múltiples correos que incluyen malware bancario
dirigido a usuarios de entidades españolas.
Detalle del ataque
- En el correo que recibiremos en nuestra bandeja de
entrada, nos avisarán de una cuota a la que por supuesto no estamos
suscritos y nos adjuntan dicha factura para que la paguemos. Evidentemente
nada más lejos de la realidad. Al descomprimir el archivo adjunto nos encontramos
ante un documento de Word.
- El documento nada más abrirlo nos alerta de que se
han deshabilitado las macros por seguridad, por lo que ya podemos comenzar
a sospechar. Sin embargo, como suele ser habitual en estos ataques el
documento nos avisa que para poder observar todo el contenido primero
necesitará habilitarlas. Si las habilitas, puedes pasar a estar en un
fuerte aprieto.
Analizamos la macro que contiene el
documento:
- Pero al estar ofuscada, no podemos obtener gran
información. Tras desofuscar el contenido, podemos apreciar el punto de
descarga del malware en cuestión, el cual utiliza un script de Powershell
para descargarse y ejecutarse.
- Una vez ejecutado, encontramos que se descarga un
módulo de TOR según nuestra arquitectura y lo emplea para establecer las
comunicaciones necesarias.
- En nuestro departamento antifraude hemos detectado
una última tanda de correos que afecta a diferentes entidades entre las
que se encuentran las siguientes:
- Santander
- Targobank
- BBVA
Recomendación
·
Como
siempre, las recomendaciones a seguir ante este tipo de amenazas es evitar
abrir este tipo de correos maliciosos. Si sospechas de una factura que no
deberías haber recibido, entonces puedes encontrarte ante una amenaza. Si crees
que puede ser cierta la factura, asegúrate antes llamando al lugar en cuestión
para confirmar que sea un e-mail benigno.
·
Por
último, si recibís correos que consideréis falsos, con facturas falsas, fraude
o malware podéis enviárnoslo a report@hispasec.com.
Fuente: Hispasec