¿A quién le molestaría recibir un ingreso de dinero en su cuenta bancaria? De hecho, es posible que ni siquiera te sorprenda recibirlo (por ejemplo, si estás a la espera de recibir el de tu declaración de la renta si salió a devolver). El problema, como bien nos recuerda la empresa de seguridad ESET, es que los ciberestafadores pueden aprovechar esa falta de desconfianza en su favor.
El motivo de esto es que se ha detectado una nueva campaña de phishing (enfocada en España, pero también detectada en Francia y algunos países centroeuropeos), que se basa en el envío de e-mails falsos que parecen provenir de CaixaBank como gancho para engañar a los usuarios.
La mala noticia es que todos queremos leer buenas noticias
Dichos e-mails, titulados "Una notificación de transferencia de dinero realizada en su favor", incluyen un archivo adjunto, y el texto de los mismos se menciona que contiene información extra sobre una transferencia. De modo que, cuando tranquilamente lo abrimos, pensando simplemente en saber el origen y la cuantía del dinero recibido…
…en realidad no estamos haciendo sino abrir un archivo ejecutable malicioso, concretamente el del 'infostealer' Agent Tesla, un malware especializado en robar información confidencial.
¿Cómo es eso? Porque lo que se descarga en nuestro equipo es un fichero comprimido de extensión .RAR: si no somos cuidadosos, y por mera costumbre clicamos en el único fichero que contiene dicho RAR, estaremos abriendo el ejecutable de Agent Tesla.
No es un malware novedoso (las empresas españolas suelen tener que lidiar con él habitualmente), y en la mayoría de los casos una solución antimalware adecuadamente actualizada —cosa que no siempre tienen los usuarios— debería ser capaz de detectar sus nuevas variantes antes de que la seguridad de nuestro equipo se vea comprometida…
…y nuestras contraseñas, filtradas: y es que Agent Tesla —al igual que otros infostealers como Formbook— se caracteriza por robar no sólo las credenciales guardadas en los navegadores, sino también en toda una serie de aplicaciones corporativas como clientes de correo, clientes FTP y VPN, etc. Las credenciales robadas pueden ser utilizadas en ataques dirigidos o vendidas en la dark web a otros ciberdelincuentes.
La forma en que el malware hace llegar nuestra información hasta los equipos de los estafadores varía en cada caso. En esta ocasión,
"los delincuentes han optado por utilizar un servidor de correo comprometido previamente para enviarse toda la información recopilada de la víctima, servidor que, aparentemente, pertenece a una empresa colombiana".
Imagen | Basada en original de Dmitriy en Pixabay
En Genbeta | Si te llega este e-mail, ten mucho cuidado, porque hasta la Guardia Civil está alertando de los peligros que supone
Ver todos los comentarios en https://www.genbeta.com
VER 1 Comentario