Eset, compañía de protección antivirus y experta en ciberseguridad, ha alertado este jueves de un nuevo caso de suplantación de la identidad de una entidad bancaria, en este caso de BBVA, a través de correos electrónicos cuyo asunto está relacionado con "liquidaciones por factorización de créditos" y que instala un malware en el sistema.
En una publicación de su página web, el director de investigación y concienciación de Eset, Josep Albors, explica que el caso es similar a otros que se basan en el envío de un correo electrónico mediante el cual los delincuentes tratan de suplantar la identidiad de una entidad bancaria y engañar al usuario que lo recibe para que se descargue y abra un archivo adjunto al email.
"En esta ocasión, se ha usado como gancho el supuesto ingreso en la cuenta del usuario de un supuesto anticipo, aunque el asunto del mensaje no queda muy claro y además contiene errores a la hora de escribir caracteres con acentos", señala Albors.
Alerta de que el remitente del email puede parecer "legítimo" para aquellos usuarios que no se fijen demasiado, pero se trata de un "nuevo caso de 'spoofing' o suplantación de identidad" con una dirección de correo que envía el mensaje "poco tiene que ver con los correos legítimos que utiliza esta entidad bancaria para ponerse en contacto con sus clientes".
En caso de que se descargue el archivo, se trataría de un fichero comprimido en formato '.rar'. Si se descomprime, en su interior se encontraría un archivo ejecutable, "responsable de infectar el sistema de la víctima".
Albors destaca que los delincuentes responsables de esta campaña "no han sido nada discretos", ya que, además de que el archivo comprimido contiene directamente un ejecutable que no oculta la extensión real, el archivo, cuando se ejecuta, "deja rastro de su actividad".
"Dos ejemplos claros son la creación de un icono en el escritorio del sistema y el intento de desactivación del cortafuegos de Windows, algo que genera una alerta del sistema y puede hacer pensar al usuario que puede estar sucediendo algo peligroso", indica la compañía.
En esta ocasión se utiliza GuLoader, amenaza que "suele ser muy utilizada en campañas de este tipo para desplegar toda clase de malware en los sistemas afectados, "aunque suele usarse especialmente en aquellas campañas pensadas para robar credenciales almacenadas en aplicaciones de uso habitual en empresas".
Eset explica que se trata de un esquema de ejecución que "viene repitiéndose en varias ocasiones desde hace meses", usando nombres de entidades bancarias o, incluso, enviando mensajes desde emails de empresas que han sido anteriormente atacadas. "El constante envío de este tipo de correos y la poca innovación en las técnicas usadas por los delincuentes demuestran que todavía están obteniendo un número lo suficientemente elevado de víctimas como para no esforzarse demasiado en realizar cambios", explica la compañía.
"El peligro real viene dado por las posibilidades que estas credenciales robadas ofrecen a otros atacantes que las utilizan en su acceso inicial a redes corporativas. Una vez consiguen acceder a la red, son capaces de realizar movimientos laterales por todos los equipos que la conforman, tomar el control de equipos críticos como servidores de correos, ficheros o controladores de dominio, robar información confidencial e incluso cifrarla para pedir un rescate", agrega.
