ESET identifica una campaña de suplantación que afecta a Movistar, Vodafone e Iberdrola

ESET ha alertado sobre una nueva campaña en la que ciberdelincuentes están suplantando a grandes compañías de servicios como Movistar, Vodafone e Iberdrola, según ha anunciado este miércoles en un comunicado.

La compañía especializada en ciberseguridad ha explicado que el objetivo de estos ataques es engañar a los usuarios mediante correos electrónicos fraudulentos que simulan comunicaciones oficiales y que buscan robar credenciales o instalar 'malware'.

La campaña --analizada en el último 'blogpost' firmado por el director de Investigación y Concienciación de ESET España, Josep Albors,-- muestra cómo los atacantes envían correos electrónicos que imitan "con gran precisión" las comunicaciones de estas compañías.

En dichos correos electrónicos se incluyen logotipos oficiales, remitentes falsificados y mensajes diseñados para generar urgencia (como facturas pendientes o avisos de corte del servicio), con el fin de llevar a los usuarios a páginas fraudulentas o inducirles a descargar archivos maliciosos.

"Como es previsible, el enlace proporcionado en el 'email' redirige a una web preparada por los delincuentes y que está alojada en servidores de una empresa que lleva meses siendo usada por varios grupos de delincuentes para alojar sus webs fraudulentas y ficheros maliciosos. En esta web se nos mostrará la descarga de un supuesto fichero PDF, aunque la realidad es bien diferente", indica Albors en el 'blogpost'.

'SCRIPT' DE VISUAL BASIC
En la misma línea, el director de Investigación y Concienciación de ESET España sostiene que la finalidad de este engaño es que la víctima descargue y abra el fichero descargado pensando que es una factura en formato PDF.

"En realidad, según el fichero descargado está en formato .ISO y contiene en su interior un 'script' de Visual Basic. Este 'script' es el encargado de iniciar la cadena de infección, ejecutado a través de Windows Script Host", expresa Josep Albors.

Asimismo, Albors subraya que la funcionalidad del 'script' malicioso es la de descargar en el sistema un archivo ejecutable como 'payload' y que realizará la actividad maliciosa determinada por los delincuentes responsables de esta campaña.

Josep Albors remarca que, como en "otras muchas ocasiones", el script se encuentra "ofuscado" y además "contiene cadenas de texto como relleno para dificultar su análisis".

De acuerdo con el director de Investigación y Concienciación de ESET España, durante la ejecución del código malicioso descargado por el 'script' VBS puede verse cómo se muestra al usuario una ventana de alerta indicando que hay algún problema con la suscripción de Adobe Acrobat Pro.

"Estos mensajes suelen mostrarse para distraer a la víctima que espera que se abra un documento PDF, mientras el 'malware' ejecuta sus acciones en segundo plano", afirma Albors.

VERIFICACIÓN DE LA AUTENTICIDAD DE LOS MENSAJES
Con respecto al ejecutable malicioso descargado tras la ejecución del VBS, Josep Albors apunta que este tiene algunas características que les hacen pensar que se trata de un 'spyware' o 'infostealer', aunque no han encontrado indicios que apunten "a alguna familia en concreto".

En esa línea, Albors asevera que "es posible que se trate de una campaña que esté probando nuevas variantes y que estas aun estén en desarrollo por parte de los delincuentes".

Desde la empresa de ciberseguridad han destacado que este hallazgo "evidencia cómo los ciberdelincuentes perfeccionan constantemente sus tácticas para dificultar que los usuarios distingan entre un correo legítimo y uno fraudulento".

"Los delincuentes aprovechan la confianza que los usuarios depositan en marcas muy reconocidas para aumentar las probabilidades de éxito. Por eso es fundamental desconfiar de los correos electrónicos sospechosos y verificar siempre la autenticidad de los mensajes antes de hacer clic en enlaces o descargar archivos adjuntos", ha señalado Albors.