Ransomware

Algunos correos que pueden causar un dolor de cabeza

Ya hemos hablado sobre conceptos de ransomware y su existencia para diferentes sistemas operativos. En esta nueva entrega mostraremos algunos ejemplos de correos reales con enlaces o adjuntos maliciosos.

Como bien dijimos en los post mencionados previamente, la mayoría de las infecciones con ransomware se originan a partir de la llegada de un correo que proviene de una “entidad  de confianza”, escrito  en otro idioma (o no), dirigido a una persona genérica, entre otras, pero no son los únicos. El correo electrónico es utilizado como medio para diferentes tipos de engaños como veremos a continuación.

 

En este primer ejemplo se puede observar un correo escrito en portugués, donde el ciberdelincuente se hace pasar por el servicio de WhatsApp enviando un supuesto “historial de conversación”:

phishng-brasil-ofuscado

Lamentablemente, luego de 3 meses de su distribución, un análisis al día de hoy en VirusTotal arroja el siguiente resultado:

whatsapp-VT

Algunos puntos a destacar para identificar este correo malicioso son:

  • El remitente es un correo @hotmail.com.
  • Está escrito en otro idioma, diferente al del destinatario.
  • No contiene texto en el cuerpo del mensaje.
  • Contiene un enlace que nos lleva a un sitio de origen brasilero “.com.br”.

 

En este segundo ejemplo, se envía un adjunto con una particularidad: parte del nombre del archivo contiene el usuario al cual va dirigido, es decir, si su correo es pepe@mail.com.ar, el archivo adjunto tendrá la palabra “pepe”. De esta manera, intenta generar credibilidad para que la potencial víctima lo abra:

correo-vacio

Los indicios son muy similares:

  • El remitente tiene una cuenta extraña, poco creíble @nate.com.
  • No posee asunto.
  • El cuerpo del mensaje no tiene texto.
  • Tiene un archivo adjunto .zip pero no se explica qué contiene (el cual es un ransomware).

 

En el tercer ejemplo, podemos visualizar que los ciberdelincuentes se hacen pasar por la AFIP para generar confianza en los destinatarios. De hecho, la propia agencia publicó un comunicado alertando a los contribuyentes: “La AFIP informa que el mail cuyo asunto es Revise su estado de cuenta en uso de tarjetas de crédito enviado desde la cuenta no–reply@afip.email NO pertenece al organismo”:

correo-afip

Fuente: ESET

Los usuarios que hayan caído en la trampa, haciendo clic en el archivo “Estado de Cuenta.doc”, que no tenían su antivirus actualizado, seguramente se infectaron y fueron parte de una botnet. El análisis realizado el día después de su distribución arrojó el siguiente resultado:

 malware-afip

Aquí podemos identificar que:

  • El remitente posee una cuenta de correo falsa con el dominio .email, aunque puede confundir ya que utiliza la palabra “afip”.
  • Está dirigido a una persona genérica, “Estimado contribuyente”.
  • El texto del cuerpo del mensaje intenta asustar al destinatario para persuadirlo a abrir el adjunto con palabras como “…puede incurrir en cargos extras como multas…”.
  • No posee firma de una persona física o área propia de la agencia.

Entonces, ¿cómo identificar un correo malicioso?

Para evitar caer en la trampa de los ciberdelincuentes e infectarse con software malicioso, debe enfocarse en los siguientes puntos:

  • Verifique que conoce al remitente.
  • Si el asunto del correo intenta asustarlo, llamar la atención con palabras como “Urgente”, “Importante”, “Aviso de seguridad”, entre otros, desconfíe!
  • Está dirigido a una persona genérica: Estimado usuario, Estimado cliente, entre otros.
  • Siempre existe una oración, en el asunto o el cuerpo del mensaje, donde intenta persuadir al destinatario para que abra un enlace o archivo adjunto.
  • Si está en otro idioma, directamente descártelo.
  • Entidades bancarias o financieras como Visa y Mastercard, Paypal o Mercado Libre, entre otros, NUNCA le enviarán un correo para que ingrese sus datos personales/bancarios o “complete un formulario” con los mismos.
  • En algunas ocasiones el cuerpo del mensaje puede estar vacío.

Cabe resaltar que los puntos anteriores deben tomarse como un conjunto de medidas a tener en cuenta y no como medidas aisladas.

Para finalizar…

Se puede concluir que, luego de analizar estos 3 ejemplos y otros tantos que aparecen diariamente, las metodologías utilizadas por ciberdelincuentes para intentar persuadirnos a abrir un enlace o archivo adjunto son similares, se aprovechan de la debilidad natural del ser humano: “la curiosidad”. Por lo tanto, es fundamental concientizar y educar a la sociedad sobre los nuevos mecanismos utilizados por ciberdelincuentes en los ataques, para prevenirla y evitar que siga creciendo el mercado para ellos.

Autor: Mauro Gioino

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s