Las claves del ciberataque que suplanta a DHL para propagar malware en la vuelta al trabajo

Detallamos los ejes a través de los que se está generando este ataque de phishing, que se establece reemplazando mediante engaño a la famosa empresa de logística alemana.

Guardar

Los correos centrados en robar información al destinario vuelven a crecer tras la vuelta de vacaciones. Bastantes de ellos suplantan a la empresa de logística DHL. Foto de Tima Miroshnichenko para Pexels
Los correos centrados en robar información al destinario vuelven a crecer tras la vuelta de vacaciones. Bastantes de ellos suplantan a la empresa de logística DHL. Foto de Tima Miroshnichenko para Pexels

Hablamos de un ataque informático que está llenando, en este retorno al trabajo, las bandejas de entrada de las diferentes organizaciones personales y corporativas que alojan correos electrónicos. La información nos la hace llegar Josep Albors, director de investigación y concienciación de ESET España, compañía de software especializada en ciberseguridad

Análisis de los correos que suplantan a la empresa DHL con fines fraudulentos 

Desde el inicio de esta semana bisagra entre el mes de agosto y septiembre, ESET ha registrado un significativo crecimiento de los ataques de phishing. El objeto de estos correos fraudulentos es hurtar información a sus destinatarios. Nos referimos a datos sensibles, como credenciales de acceso a diversos servicios. Entre estas campañas hay alguna que ha destacado por el alto volumen de correos enviados. En ese contexto, sobresale la cantidad de ciberataques que se centran en suplantar la identidad de la empresa DHL, referencia del sector de la logística a escala planetaria.

En el correo fraudulento, se nos informa de un supuesto envío (a pesar de que el dominio del remitente no tenga nada que ver con esta empresa de mensajería). La estrategia de los delincuentes sigue siendo la misma que la apreciada durante los últimos meses: se adjunta un archivo que más de un usuario habrá descargado en busca de información acerca de este supuesto envío. Los usuarios más despiertos se percatarán de que el archivo adjunto contiene una doble extensión PDF.img para tratar de confundir a sus víctimas y hacerles creer que están abriendo un inofensivo fichero ofimático. El problema es que este archivo es en realidad un fichero comprimido en ZIP, que contiene en su interior un ejecutable malicioso, tal y como podemos apreciar si renombramos la extensión del archivo tras descargarlo y tratamos de descomprimirlo.

Fin último de estos correos maliciosos: robar datos y credenciales de alto valor 

Si analizamos los antecedentes y los patrones en España de estas campañas de robo de información, podemos colegir que existen muchas probabilidades de que traten de infectar el sistema de su dispositivo digital con alguna variante de herramientas de control remoto maliciosas, como Agent Tesla, Remcos o Formbook. El objetivo primordial de estos códigos maliciosos es sustraer credenciales almacenadas en aplicaciones de uso cotidiano en empresas, tales como clientes de email, navegadores de Internet, clientes FTP o VPNs, por poner algunos botones de muestra. 

En síntesis, los grupos de ciberdelincuentes continúan empleando las mismas tácticas, técnicas y procedimientos para robar información a sus víctimas que ya se veían apreciando antes de las vacaciones. Para prevenir esta clase de ataques informáticos, se recomienda implementar medidas y soluciones de seguridad que sean capaces de bloquear este tipo de emails antes de que lleguen a la bandeja de entrada de los usuarios y puedan comprometer así la seguridad de la empresa.