Alertan de un e-mail falso del BBVA que instala un malware en el sistema

ESET ha advertido sobre esta campaña de phishing que utiliza GuLoader, una amenaza que suele usarse para robar credenciales.

Guardar

E-mails/Correos electrónicos de phishing
E-mails/Correos electrónicos de phishing

La suplantación de empresas de todo tipo es desde hace tiempo un recurso muy habitual de los ciberdelincuentes para lanzar ataques a través de correos electrónicos (phishing), SMS (smishing) o incluso por medio de llamadas telefónicas (vishing).

Estas campañas maliciosas no dejan de sucederse y la compañía de ciberseguridad ESET ha alertado de una nueva que, en este caso, suplanta otra vez la identidad del BBVA.

En una publicación de su blog "Protegerse", el director de investigación y concienciación de ESET, Josep Albors, ha explicado todas las claves de esta campaña, que se está difundiendo mediante correos electrónicos que utilizan como gancho el supuesto ingreso en la cuenta del usuario de un presunto anticipo y que, en realidad, instalan un malware en el sistema.

Según advierte, el remitente del mensaje puede parecer "legítimo" para aquellos usuarios que no se fijen demasiado, pero se envía desde una dirección que "poco tiene que ver con los correos legítimos que utiliza esta entidad bancaria para ponerse en contacto con sus clientes". Asimismo, indica que el asunto del mensaje tampoco queda muy claro y además contiene errores gramaticales al escribir caracteres con acentos.

GuLoader, el malware que usa esta campaña de phishing

En caso de que el usuario cayera en la trampa y se descargara el archivo, Albors señala que se encontraría ante un fichero comprimido en formato RAR y que si lo descomprimiera entraría en juego el archivo ejecutable que contiene en su interior, "responsable de infectar el sistema de la víctima".

El experto de ESET destaca que los ciberdelincuentes detrás de esta campaña "no han sido nada discretos" ya que, además de que el archivo comprimido contiene directamente un ejecutable que no oculta la extensión real, cuando el archivo se ejecuta "deja rastro de su actividad". Por ejemplo, intentando desactivar el cortafuegos de Windows y creando un icono en el escritorio del sistema.

En cuanto al malware que utiliza, subraya que se trata de GuLoader, un descargador de troyanos de acceso remoto que últimamente también ha formado parte de otras campañas contra empresas españolas o que usaban como cebo la variante Omicron. De hecho, Albors apunta que es una "amenaza que suele ser muy utilizada en campañas de este tipo para desplegar toda clase de malware en los sistemas comprometidos, aunque suele usarse especialmente en aquellas campañas pensadas para robar credenciales almacenadas en aplicaciones de uso habitual en empresas, como las protagonizadas por Agent Tesla y Formbook".

Además, añade que los ciberdelincuentes "han optado por el camino fácil" al almacenar esta muestra de GuLoader en Google Drive, lo que "les facilita las cosas pero también hace que esta muestra de malware no dure mucho tiempo, ya que Google suele retirar el malware almacenado en sus servicios relativamente rápido". No obstante, afirma que "el tiempo que pueda estar descargándose esta amenaza desde esa ubicación es más que suficiente para tratar de infectar a un número de usuarios que los delincuentes detrás de esta campaña consideran adecuado".

Albors también precisa que este esquema de ejecución "viene repitiéndose en varias ocasiones desde hace meses", usando nombres de entidades bancarias o, incluso, enviando mensajes desde emails de empresas que han sido anteriormente comprometidas. "El constante envío de este tipo de correos y la poca innovación en las técnicas usadas por los delincuentes demuestran que todavía están obteniendo un número lo suficientemente elevado de víctimas como para no esforzarse demasiado en realizar cambios.

"El peligro real viene dado por las posibilidades que estas credenciales robadas ofrecen a otros atacantes que las utilizan en su acceso inicial a redes corporativas. Una vez consiguen acceder a la red, son capaces de realizar movimientos laterales por todos los equipos que la conforman, tomar el control de equipos críticos como servidores de correos, ficheros o controladores de dominio, robar información confidencial e incluso cifrarla para pedir un rescate", agrega el director de investigación y concienciación de ESET.