Campaña correos malicios y Greta Thunberg

Campaña correos malicios y Greta Thunberg

La compañía Sophoslab ha hecho pública la existencia de una campaña de correos electrónicos con código malicioso puede infectarnos con malware, el correo, que está muy bien enfocado, aprovecha la popularidad de Greta Thunberg, personaje que en estos últimos meses se ha hecho eco en todos los medios de comunicación.

Los correos localizados en esta campaña, que lleva activa desde el comienzo de las navidades tienen como gancho el siguiente asunto, "Por favor, ayuda a salvar el planeta", "Greta", "La mayor manifestación" o "Apoya a Greta Thunberg - Persona del año 2019 según TIME", muchos de estos correos, están llegando en inglés, pero no bajemos la guardia, ya que también circulan en varios idiomas.

El mensaje de estos correos electrónicos, os invita a participar en una inminente manifestación... cuya hora y lugar no aparecen en el mensaje, sino, que debemos de acceder al documento de Word que en algunos casos está adjunto al correo, y en otros casos, incluyen un enlace en el mismo texto, (clic aquí), enlazado desde el mismo a la descarga del documento.

La traducción del contenido de dichos correos es la siguiente:

..."FELIZ NAVIDAD Puedes pasar la Nochebuena buscando regalos para los niños y te lo agradecerán sólo ese día. En cambio, los niños te agradecerán toda su vida que te unas a la mayor manifestación en protesta contra la inacción gubernamental hacia la crisis climática. Apoya a Greta Thunberg….

Aquellos correos que se limitan a enlazar el archivo de texto no usan URL's que estén actualmente funcionando, por lo que no ocurre nada cuando los usuarios hacen clic en las mismas. "Pero cuidado, lo malo", "es que no podemos estar seguros de qué clase de malware han intentado difundir o de cuál podrá aparecer en el futuro en esos enlaces".

En el caso de los correos que incluían el archivo adjunto, el malware usado es Emotet, que antaño fue un troyano usado para robar credenciales bancarias y actualmente es un sofisticado software usado como vía de entrada para otros programas maliciosos (desde otros troyanos bancarios como QBot hasta ransomware como BitPaymer).

Una vez que se abre este documento, saltara una advertencia que se muestra como en la imagen siguiente, aparentemente está muy bien trabajado y tiene un aspecto legítimo (aunque en inglés, lo que puede hacer sospechar a los usuarios de habla hispana):

Dicho mensaje, una mera imagen insertada en el documento, anima al usuario a cambiar la configuración de seguridad por defecto de Word con el fin de que éste deje de  bloquear la ejecución de macros maliciosos .  Si este llegara ejecutarse, se conectaría a Internet e instalaría Emotet en el equipo.

Gracias a Shophos.

Como siempre os advertimos a que no abráis ningún documento adjunto de correos electrónicos que no sean del entorno conocible.

También os advertimos, que si el documento original lo ves como un Word, no puede decir que se hizo con otro software, a tener en cuenta, si ves el icono de un software conocido, es que esta asociado al software que tienes instalado en el equipo, debería de abrirse sin problemas, y si al abrirlo, da problemas, sospecha, y pasa tu antivirus.