Falso aviso de pago del Santander adjunta malware que trata de robar contraseñas

Hacerse pasar por una compañía telefónica o por una entidad bancaria a través de sms o correos electrónicos son campañas fraudulentas cada vez más comunes por parte de los delincuentes. Las principales víctimas que sufren estas ciberestafas son personas que trabajan con un volumen alto de correos electrónicos y estos mensajes pueden pasar como información veraz.

La suplantación de la identidad bancaria se realiza mediante un correo que aparentemente es verídico, y es por ello, que en ese momento no compruebas su autenticidad. También, la inclusión de enlaces que te redirigen a la web del banco Santander, con una serie de claves para mantener la seguridad en el trámite, que hace aún más fiable el email.

Asimismo, la redacción del mensaje y el uso del logotipo son otros los apartados que pueden hacer más fiable la estafa.

REVISIÓN DEL MALWARE

Aunque de primera mano el correo esté bien redactado, esto incita al receptor a abrirlo sin sospecha de estar ante un fraude. Sin ir más lejos, al abrir el fichero comprimido adjunto con el supuesto aviso de pago, observamos cómo en su interior se encuentra un ejecutable, cuando deberíamos ver algún tipo de documento informático.

Si bien los documentos en formato Word y Excel suelen ser muy usados en campañas de propagación de malware, encontrarnos directamente con un fichero ejecutable es una señal para hacer saltar todas las alarmas.

Además, uno de los aspectos que hay que observar son las horas de ejecución de los materiales anexos, si estos han sido realizados en un margen de tiempo corto, posiblemente se han elaborado para una campaña de propagación de malware fresca, y así aprovechar el volumen de trabajo de ciertos departamentos un lunes a primera hora.

En cuanto al malware, se trata de un nuevo caso de GuLoader, en los que trata conectar con alguna URL o servidor usado por los delincuentes para descargar el payload o carga maliciosa, para proceder al robo de las credenciales de la empresa. En este caso se trataría de un infostealer o ladrón de información, ya que su principal objetivo es administrar las credenciales que se encuentren en diferentes sitios webs.

También es recurrente el uso de Google Drive para que el sistema al haber almacenado el playload (los datos del mensaje enviado), de manera automática, se descargue en el sistema al completar la primera fase.

En relación a las credenciales robadas, se suelen utilizar para realizar accesos no autorizados a la red corporativa, robando y cifrando información, o para enviar correos en su nombre y tratar de infectar así a otras empresas que actúen como clientes o proveedores.

En conclusión: los robos de credenciales en empresas son un verdadero problema actualmente, puesto que pueden ser el inicio de un ataque más grave que puede poner en jaque la continuidad del negocio. Por ese motivo es importante utilizar herramientas de seguridad tanto en endpoints como servidores de correo, incluso utilizar herramientas como ESET Dynamic Threat Defense, que analiza correos sospechosos y sus adjuntos antes de ser entregados, evitando que los emails maliciosos lleguen a las bandejas de correo de los usuarios.