Correos con falsas facturas que propagan malware


Esta semana hemos recibido en nuestro laboratorio una gran cantidad de correos con un enlace sospechoso que nos hizo activar las alarmas.

 

Josep Albors, director del laboratorio de Ontinet.com - Este tipo de correos tienen asuntos similares que hacían referencia a facturas no recibidas o impagadas, con una estructura similar a la del que mostramos a continuación:

image

Obviamente, este tipo de correos está preparado específicamente para despertar la curiosidad de aquellos usuarios empleados en departamentos administrativos o comerciales de las empresas, aunque cualquier tipo de usuario desprevenido puede caer en la trampa. Al pulsar sobre el enlace, se abrirá una ventana de nuestro navegador ofreciendo la descarga del archivo malicioso.

Una vez descargado el archivo en nuestro disco, si lo abrimos comprobaremos que sigue usando la técnica de ocultar su extensión de una forma sencilla pero efectiva que ya ha sido usada con anterioridad en múltiples ocasiones. El usuario podría pensar que se trata de un fichero PDF, pero si revisamos la extensión veremos que en realidad se trata de un ejecutable de Windows. Todo esto suponiendo que el usuario tenga activada la opción de visualizar la extensión de los ficheros, práctica no tan extendida como debería.

image

Lo más preocupante del asunto es que todos los enlaces que hemos detectado desde los que se está sirviendo este código maliciosopertenecen a empresas o servicios legítimos que han visto comprometida su seguridad y cómo se ha añadido una carpeta a su web donde se aloja el malware. Entre las empresas afectadas se encuentran incluso alguna consultoría especializada en tecnologías de la información que debería revisar urgentemente la seguridad de su sitio web.

En resumen, estamos ante un nuevo caso de propagación de malware usando técnicas clásicas pero que, además, se aprovecha de webs vulnerables para alojar malware. Este hecho ha sido una constante en los últimos meses y ya hemos analizado casos similares en nuestro blog con códigos maliciosos alojados en blogs sin actualizar.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios eliminar los mensajes que contienen los enlaces maliciosos y actualizar su antivirus para detectar los archivos infectados que se descargan. También sería interesante que algunos webmasters se tomaran en serio la seguridad de sus sitios web y evitasen que fueran usados para propagar malware”.