Es habitual que las campañas de phishing (e-mails fraudulentos cuyo fin es que cedamos inadvertidamente nuestros datos a ciberestafadores) recurran a usar como anzuelos los reembolsos de impuestos, las citaciones judiciales o la entrega de paquetes. Menos habitual (aunque igual de ingenioso, y bastante más miserable) es que para ello traten de 'colarnos' el fallecimiento de algún familiar.
"Comunicado de fallecimiento" es el asunto de una de las últimas campañas de e-mail detectadas por ESET (la compañía desarrolladora de antivirus) entre usuarios hispanohablantes. En ella, los sobrinos de María Antonella Oviedo nos comunican su muerte y su deseo de "compartir este dolor con ustedes, nuestros seres queridos" (el dolor, de la herencia no dicen nada).
Y eso es curioso, porque ninguno de los receptores de este e-mail parece saber nada de la tal María Antonella ni de sus sobrinos.
Podría tratarse, claro, de un mero error en el envío del e-mail, quizá estemos criticando antes de tiempo a una familia que está sufriendo en algún lugar no determinado del mundo (aunque el '.com.ar' del dominio de origen del e-mail revela su origen argentino). Sin embargo, hay otro detalle relevante en el e-mail en cuestión:
"Queremos compartir con ustedes una nota de falecimiento (sic) que hemos publicado en línea. Les proporcionaremos el enlace a continuación para que puedan leerla y honrar su memoria".
No cliques. ¿Para qué clicas?
Mucho usuario, carcomido por la duda de si de verdad ha conocido o no a dicha mujer, optará por hacer clic en el enlace. Por si acaso. Y es ahí donde empiezan los problemas, porque el enlace nos llevará a una web alojada en la plataforma Azure que nos mostrará un mensaje de "Descargando su archivo PDF…". Sólo que tal archivo PDF es en realidad un ZIP… cuyo nombre empieza por 'Fac_tura_CFDI'.
Llegados a este punto, deberían haber saltado ya todas nuestras alarmas: todo indica que están reutilizando una web maliciosa de una campaña de phishing enfocada en usuarios mexicanos (el CFDI es el 'Comprobante Fiscal Digital por Internet', su versión de la factura electrónica).
No causará ninguna sorpresa que, una vez abramos el citado archivo ZIP, tampoco nos encontremos ningún documento PDF, sino un .exe. Éste, al ser ejecutado, mostrará una ventana que tratará de simular ser el Adobe Acrobat Reader… una versión muy extraña del mismo, pues requiere que rellenemos un captcha.
Cuando lo rellenemos, se nos dirá que el PDF "está cargando" y después aparecerá un aviso de error: "Hubo un error al ver su documento, reinicie su computadora y vuelva a intentarlo".
Llegados a este punto, posiblemente hayamos renunciado a querer saber más sobre la tía María Antonella, pero ya es tarde: mientras nos hemos entretenido intentando visualizar el documento de marras, se ha estado instalando un troyano bancario (muy similar a Grandoreiro, del que ya hemos hablado hace poco) que localizará aquellas credenciales de acceso a entidades bancarias (y, en algunos casos, también de carteras de criptodivisas) que tengamos almacenadas en nuestro equipo, y las remitirá a los responsables de la ciberestafa.
¿Qué hacer?
Los consejos en estos casos son los habituales:
- Desconfiar de e-mails de remitente desconocido.
- Desconfiar de ficheros que no son lo que dijeron ser cuando hicimos clic (un supuesto PDF que realmente es un ZIP con un EXE dentro es el mejor ejemplo de ello).
- Mantener instalada y actualizada una aplicación antimalware en nuestro equipo.
- Mantener las credenciales de acceso (a banca web o a cualquier otro servicio online) a buen recaudo en un gestor de contraseñas.
Imágenes | Elaboración propia vía IA, ESET España
Ver 3 comentarios