Campaña correos malicios y Greta Thunberg
La compañía Sophoslab ha hecho pública la existencia de una campaña de correos electrónicos con código
malicioso puede infectarnos con malware, el correo, que está muy bien enfocado,
aprovecha la popularidad de Greta
Thunberg, personaje que en estos últimos meses se ha hecho eco en todos los
medios de comunicación.
Los correos localizados
en esta campaña, que lleva activa desde el comienzo de las navidades tienen como
gancho el siguiente asunto, "Por
favor, ayuda a salvar el planeta", "Greta", "La mayor
manifestación" o "Apoya a Greta Thunberg - Persona del año 2019 según
TIME", muchos de estos correos, están llegando en inglés, pero no bajemos
la guardia, ya que también circulan en varios idiomas.
El mensaje de
estos correos electrónicos, os invita a participar en una inminente manifestación... cuya hora y lugar no aparecen en el mensaje,
sino, que debemos de acceder al documento de Word que en algunos casos está
adjunto al correo, y en otros casos, incluyen un enlace en el mismo texto, (clic
aquí), enlazado desde el mismo a la descarga del documento.
La
traducción del contenido de dichos correos es la siguiente:
..."FELIZ NAVIDAD Puedes pasar la Nochebuena
buscando regalos para los niños y te lo agradecerán sólo ese día. En cambio,
los niños te agradecerán toda su vida que te unas a la mayor manifestación en
protesta contra la inacción gubernamental hacia la crisis climática. Apoya a
Greta Thunberg….
Aquellos
correos que se limitan a enlazar el archivo de texto no usan URL's que estén
actualmente funcionando, por lo que no ocurre nada cuando los usuarios hacen
clic en las mismas. "Pero cuidado, lo malo", "es que no podemos estar seguros de qué clase de malware han intentado difundir o de cuál podrá aparecer en el futuro en
esos enlaces".
En el caso
de los correos que incluían el archivo adjunto, el malware usado es Emotet, que antaño fue un troyano usado para robar credenciales bancarias y
actualmente es un sofisticado software usado como vía de entrada para otros programas maliciosos (desde
otros troyanos bancarios como QBot hasta ransomware como BitPaymer).
Una vez que
se abre este documento, saltara una advertencia que se muestra como en la
imagen siguiente, aparentemente está
muy bien trabajado y tiene un aspecto legítimo (aunque en inglés,
lo que puede hacer sospechar a los usuarios de habla hispana):
Dicho mensaje, una mera imagen
insertada en el documento, anima al usuario a cambiar la configuración de
seguridad por defecto de Word con el fin de que éste deje de bloquear la ejecución de macros maliciosos . Si este llegara ejecutarse, se conectaría a Internet
e instalaría Emotet en el equipo.
Gracias a
Shophos.
Como siempre os advertimos a que no abráis ningún
documento adjunto de correos electrónicos que no sean del entorno conocible.
También os advertimos, que si el documento original lo
ves como un Word, no puede decir que se hizo con otro software, a tener en
cuenta, si ves el icono de un software conocido, es que esta asociado al
software que tienes instalado en el equipo, debería de abrirse sin problemas, y
si al abrirlo, da problemas, sospecha, y pasa tu antivirus.
