Los ciberdelincuentes están aprovechando la preocupación creciente de los ciudadanos por cuánto tendrán que pagar cada mes en sus facturas de la luz o el gas, a causa de la inflación, para engañarlos.
Los cibermalos han retomado una de sus amenazas clásicas: el envío de correos electrónicos que contienen la misiva "Emisión de factura electrónica". Obviamente, se trata de emails con facturas falsas que no traen nada bueno si se abren.
Desde la compañía de seguridad ESET comentan como los amigos de lo ajeno digitales reutilizan aquellas plantillas de correo que les han resultado más fructíferas para engañar a los usuarios en el pasado.
Lo que sí que han variado los hackers es la cadena de infección. Si hace un par de meses enviaban un correo con un asunto similar, pero con un fichero PDF adjunto con un enlace malicioso en el interior, en esta ocasión dicho enlace ha vuelto a incluirse en el cuerpo del mensaje.
Así, el usuario que tenga curiosidad por saber qué tipo de factura tiene pendiente de pago es redirigido a la descarga de un fichero malicioso que ha sido preparado por los cibermalos.
Josep Albors, director de investigación y concienciación de ESET España, explica en el blog de la firma cómo se utiliza una ubicación perteneciente al servicio de alojamiento en la nube de Azure para alojar el archivo malicioso que se encarga de iniciar la cadena de infección.
"Esto, normalmente, resulta en una duración del enlace de descarga algo corta, puesto que estos servicios suelen detectar este tipo de amenazas más o menos rápido, aunque con que el enlace se mantenga activo solo unas horas ya es más que suficiente para que los delincuentes obtengan su objetivo", comenta el experto.
El fichero ejecutable contiene una versión del downloader de NSIS, que se pone en contacto con un servidor controlado por los hackers para descargar y ejecutar el payload. Anteriormente, se delegaba la infección en un archivo MSI. El payload contiene tres archivos, incluyendo el propio troyano bancario Mekotio.
Ciberdelincuentes que pueden hacerlo mejor
No obstante, desde ESET comentan que los cibermalos autores de estas campañas todavía son un poco torpes y cometen algunos errores 'de principiantes', a pesar de llevar mucho tiempo con estas amenazas. De hecho, seguirían olvidándose de impedir el acceso a los directorios de los servidores que usan para alojar las muestras pertenecientes a las campañas".
"Como ejemplo, podemos ver como nada nos impide acceder al directorio usado en esta campaña reciente dirigida a usuarios españoles, y que contiene tanto los archivos pertenecientes al propio troyano Mekotio como los relacionados con el lenguaje de propagación AutoHotKey y que sirven para ejecutar esta amenaza", muestra Albors.