El Banco Santander ha vuelto a ser la entidad bancaria utilizada para el envío de correos electrónicos fraudulentos en los que se adjunta un malware que busca robar las contraseñas de los usuarios. Así lo ha advertido la compañía de antivirus y ciberseguridad ESET, que en un comunicado ha detallado que en los últimos meses se han detectado diferentes campañas delictivas, compartiendo la mayoría de las veces la estrategia de hacerse pasar por una entidad bancaria, en este caso el Santander.
Los receptores de estos correos suelen ser personal ubicado en departamentos de administración y ventas, acostumbrados a lidiar con decenas de emails al día que hacen mención a facturas y pagos, por lo que nunca es probable que, a primera vista, este mensaje pueda pasar perfectamente por legítimo.
La compañía de ciberseguridad señala que “hay varios detalles en los que los delincuentes detrás de esta campaña han puesto especial hincapié para tratar de hacer pasar este correo por uno legítimo”. En concreto, mencionan “un correo aparentemente real” que, aunque se puede revisar, “es algo que no se suele realizar”. Además, “se han incorporado enlaces a una web del banco Santander donde precisamente se incluyen consejos de seguridad para así darle más veracidad al email”. También se utiliza un “logotipo que hace mención al sistema de pagos a través de la plataforma del Santander” y una “redacción correcta del mensaje”.
TRAMPA
Con todo, ESET señala algunos detalles que pueden hacer sospechar sobre el origen fraudulento de los correos y evitar así abrir los ficheros adjuntos. Lo primero es que el fichero comprimido adjunto con el supuesto aviso de pago tiene “en su interior un ejecutable”, cuando lo que debería haber es un documento informático.
Además, el archivo malicioso adjunto “se compiló apenas unas horas antes de enviarse el mensaje, por lo que estamos ante una campaña de propagación de malware fresca” que busca aprovechar el alto volumen de trabajo de las personas que reciben este tipo de correos.
En lo que respecta al malware en sí, “se trata de un nuevo caso de GuLoader, usado por actores maliciosos como malware de primera fase que se encarga de conectar con alguna URL o servidor usado por los delincuentes para descargar el payload o carga maliciosa, que se encarga de realizar el robo de credenciales”, señala la compañía.
En este caso, “todo apunta a que estaríamos ante un nuevo caso de infostealer o ladrón de información dedicado a robar credenciales almacenadas en las aplicaciones instaladas en el sistema y de uso cotidiano, tales como navegadores de Internet, clientes FTP, clientes de correo y VPNs”. Además, “vemos como los delincuentes han usado el servicio de Google Drive para almacenar el payload que se descarga en el sistema una vez la primera fase del ataque se ha completado”.
Asimismo, alerta de que “durante la descarga y ejecución del malware se contacta con los servidores de Adobe para descargar la aplicación Adobe Reader”, lo que induce a que la víctima crea que “se está descargando y/o actualizando esta aplicación para proceder a visualizar la factura a la cual se hacía mención en el correo fraudulento”.
“Con relación a las credenciales robadas, estas se suelen utilizar para realizar accesos no autorizados a la red corporativa, robando y cifrando información, o para enviar correos en su nombre y tratar de infectar así a otras empresas que actúen como clientes o proveedores”, concluye el comunicado.
