Solo unos días después de advertir que los ciberdelincuentes están reutilizando una plantilla en sus e-mails maliciosos que usa como cebo el supuesto envío de un currículum, la empresa de ciberseguridad ESET ha alertado sobre una nueva campaña de phishing que, en este caso, se aprovecha del período vacacional suplantando la identidad de Booking, una de las plataformas más populares de servicios de reservas online.
Josep Albors, director de Investigación y Concienciación de ESET España, ha sido el encargado de dar la voz de alarma sobre esta campaña en una nueva publicación del blog de la compañía. Según indica, los ciberdelincuentes que la han puesto en marcha han sabido aprovechar muy bien el momento para redactar el correo de forma que parezca legítima, haciendo creer al destinatario del mensaje que realmente se trata de una reserva realizada por él y adjuntando además un documento en formato PDF en el que supuestamente aporta los detalles de la falsa factura.
Así, el e-mail tiene como asunto "Nueva reserva de última hora" e insta a los usuarios a consultar el archivo "para confirmar que solicitó el método de pago o cancélelo ahora". Al revisar el PDF adjunto en el correo, Albors señala que han observado que se utiliza el nombre de Booking e incluso su domicilio fiscal en los Países Bajos y la de una persona relacionada con el alquiler de apartamentos vacacionales en la localidad catalana de Salou. "Aportando estos datos, los delincuentes tratan de ganarse la confianza del usuario, quien, a continuación, observa el importe de una factura abonada en concepto de una supuesta reserva", indica Albors, que aporta estas dos capturas del falso e-mail de Booking y de la supuesta factura, que tiene un importe de 230,25 euros.
También incluye otro fichero, que contiene el ejecutable malicioso
Albors continúa avisando que es probable que el usuario dirija su atención al otro fichero que adjunta el correo, el cual se presenta en formato comprimido RAR e incluye el ejecutable malicioso. Según explica, se trata de GuLoader, un código malicioso que utilizan numerosos ciberdelincuentes para propagar varias amenazas y que se usa como malware de primera fase para descargar otras amenazas relacionadas con spyware.
"De hecho, dentro del propio código del ejecutable malicioso se encuentra incrustada una URL que apunta a la descarga de un fichero alojado en Google Drive. Es muy probable que ese archivo no dure mucho tiempo en esa ubicación, pero sí lo suficiente como para permitir que varios de los usuarios que hayan recibido este correo lo descarguen", afirma el director de Investigación y Concienciación de ESET España.
"Por la técnica usada, ya vista anteriormente en emails con supuestas facturas y pedidos adjuntos, todo apunta a que estamos ante un nuevo caso de infostealer, aunque por el asunto utilizado parecería que va más dirigido a usuarios particulares que a empleados de empresas. Sin embargo, no podemos descartar que algunos usuarios abran este correo en un dispositivo conectado a una red corporativa o donde se almacenen contraseñas para acceder a recursos del trabajo", apunta.
Albors termina su publicación recordando que la capacidad de adaptación que tienen los ciberdelincuentes para hacernos caer en su trampa. Por ello, recomienda "revisar a fondo todos los correos que recibamos sin haber sido solicitados, aunque provengan de fuentes confiables, y contar con soluciones de seguridad capaces de detectar y eliminar estas amenazas antes de que infecten nuestro sistema"