Los enlaces maliciosos en el correo electrónico

Los correos electrónicos de spam y phishing no son las únicas amenazas que puedes encontrar en tu bandeja de entrada. Los ciberdelincuentes todavía utilizan los enlaces con malware.

Cuando en una conversación surge el tema del robo de credenciales, lo que se suele mencionar en primer lugar son los mensajes por correo electrónico con enlaces de phishing. Sin embargo, estos mensajes representan solo una forma de obtener los nombres de usuario y las contraseñas de varios servicios online. Los estafadores siguen enviando enlaces a programas de spyware frecuentemente. Uno de sus trucos para disfrazar estos enlaces es incluir una imagen que simule un archivo adjunto.

El correo electrónico con enlaces maliciosos

Hoy analizamos un ataque dirigido por correo electrónico. Los ciberdelincuentes en cuestión consiguieron crear un correo electrónico creíble enviando una RFQ, o solicitud de presupuesto, a un proveedor de servicios industriales y distribuidor de equipamiento, con las pautas adjuntas.

Las empresas industriales reciben este tipo de solicitudes con bastante frecuencia. Por lo general, los directores de contabilidad abren el documento con las pautas y preparan una propuesta, por lo que pasan por alto cualquier pequeña discrepancia como las diferencias entre el nombre de dominio y la firma del remitente. Lo que nos interesa de esto es cómo consiguen los ciberdelincuentes que los destinatarios ejecuten el malware. Esta es la apariencia del correo electrónico:

Un e-mail con un enlace al malware

¿Ves el PDF adjunto? Bien, lo que estás viendo no es para nada un archivo adjunto. Outlook no muestra de esta forma los archivos adjuntos en sus correos electrónicos; de hecho, aquí te enumeramos las diferencias:

  • El icono del archivo adjunto debería coincidir con la aplicación asociada a los archivos PDF de tu sistema. Si no es así, entonces no es un archivo adjunto o lo que está adjunto no es un archivo PDF.
  • Los detalles del archivo (nombre, tipo, tamaño) deberían aparecer al pasar el cursor sobre un archivo adjunto real. No deberías ver un enlace a algún sitio web sospechoso.
  • La flecha junto al nombre del archivo debería estar resaltada y funcionar como un botón que despliega un menú contextual.
  • El archivo adjunto debería aparecer en un bloque independiente y no en el cuerpo del correo electrónico, algo así:

Así se ve realmente un archivo PDF adjunto

De hecho, este objeto disfrazado de PDF adjunto es solo una imagen cualquiera. Para detectarlo, solo tienes que intentar seleccionar partes del mensaje con tu ratón o utilizar el comando para seleccionar todo.

Una imagen que simula ser un archivo adjunto PDF

La imagen oculta un hipervínculo a un programa malicioso. Al hacer clic en el enlace se descarga un troyano spyware.

La carga del ataque

En este caso en particular, el enlace malicioso apunta a un archivo nombrado Swift_Banco_Unicredit_Wire_sepa_export_000937499223, que contiene un cargador para un troyano que Kaspersky identifica como Trojan-Spy.Win32.Noon, un troyano spyware muy común que se conoce desde el 2017 y que permite que los atacantes roben contraseñas y otra información relevante para los formularios de entrada.

Cómo mantenerse a salvo

Para evitar que los troyanos spyware dañen a tu empresa, instala una solución de seguridad de confianza en todos tus dispositivos con acceso a Internet a fin de evitar que se ejecute el malware.

Además, forma a tus empleados para detectar los trucos que utilizan los ciberdelincuentes en el correo electrónico.

Consejos