Llega la 'estafa del familiar lejano': un e-mail anunciando un fallecimiento… que oculta un peligroso malware

Tía Desconocida
3 comentarios Facebook Twitter Flipboard E-mail

Es habitual que las campañas de phishing (e-mails fraudulentos cuyo fin es que cedamos inadvertidamente nuestros datos a ciberestafadores) recurran a usar como anzuelos los reembolsos de impuestos, las citaciones judiciales o la entrega de paquetes. Menos habitual (aunque igual de ingenioso, y bastante más miserable) es que para ello traten de 'colarnos' el fallecimiento de algún familiar.

"Comunicado de fallecimiento" es el asunto de una de las últimas campañas de e-mail detectadas por ESET (la compañía desarrolladora de antivirus) entre usuarios hispanohablantes. En ella, los sobrinos de María Antonella Oviedo nos comunican su muerte y su deseo de "compartir este dolor con ustedes, nuestros seres queridos" (el dolor, de la herencia no dicen nada).

Antonella Mail vía ESET

Y eso es curioso, porque ninguno de los receptores de este e-mail parece saber nada de la tal María Antonella ni de sus sobrinos.

Podría tratarse, claro, de un mero error en el envío del e-mail, quizá estemos criticando antes de tiempo a una familia que está sufriendo en algún lugar no determinado del mundo (aunque el '.com.ar' del dominio de origen del e-mail revela su origen argentino). Sin embargo, hay otro detalle relevante en el e-mail en cuestión:

"Queremos compartir con ustedes una nota de falecimiento (sic) que hemos publicado en línea. Les proporcionaremos el enlace a continuación para que puedan leerla y honrar su memoria".
Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

No cliques. ¿Para qué clicas?

Mucho usuario, carcomido por la duda de si de verdad ha conocido o no a dicha mujer, optará por hacer clic en el enlace. Por si acaso. Y es ahí donde empiezan los problemas, porque el enlace nos llevará a una web alojada en la plataforma Azure que nos mostrará un mensaje de "Descargando su archivo PDF…". Sólo que tal archivo PDF es en realidad un ZIP… cuyo nombre empieza por 'Fac_tura_CFDI'.

Llegados a este punto, deberían haber saltado ya todas nuestras alarmas: todo indica que están reutilizando una web maliciosa de una campaña de phishing enfocada en usuarios mexicanos (el CFDI es el 'Comprobante Fiscal Digital por Internet', su versión de la factura electrónica).

Antonella Zip vía ESET

No causará ninguna sorpresa que, una vez abramos el citado archivo ZIP, tampoco nos encontremos ningún documento PDF, sino un .exe. Éste, al ser ejecutado, mostrará una ventana que tratará de simular ser el Adobe Acrobat Reader… una versión muy extraña del mismo, pues requiere que rellenemos un captcha.

Cuando lo rellenemos, se nos dirá que el PDF "está cargando" y después aparecerá un aviso de error: "Hubo un error al ver su documento, reinicie su computadora y vuelva a intentarlo".

Antonella Loading

Llegados a este punto, posiblemente hayamos renunciado a querer saber más sobre la tía María Antonella, pero ya es tarde: mientras nos hemos entretenido intentando visualizar el documento de marras, se ha estado instalando un troyano bancario (muy similar a Grandoreiro, del que ya hemos hablado hace poco) que localizará aquellas credenciales de acceso a entidades bancarias (y, en algunos casos, también de carteras de criptodivisas) que tengamos almacenadas en nuestro equipo, y las remitirá a los responsables de la ciberestafa.

¿Qué hacer?

Los consejos en estos casos son los habituales:

  • Desconfiar de e-mails de remitente desconocido.
  • Desconfiar de ficheros que no son lo que dijeron ser cuando hicimos clic (un supuesto PDF que realmente es un ZIP con un EXE dentro es el mejor ejemplo de ello).
  • Mantener instalada y actualizada una aplicación antimalware en nuestro equipo.
  • Mantener las credenciales de acceso (a banca web o a cualquier otro servicio online) a buen recaudo en un gestor de contraseñas.

Imágenes | Elaboración propia vía IA, ESET España

En Genbeta | Tus contraseñas y datos bancarios corren peligro: una oleada de emails fraudulentos revela el retorno de dos peligrosos troyanos

Comentarios cerrados
Inicio