Se ofrece una recopilación de correos maliciosos con malware que circularon durante 2023

en América Latina realizada por ESET.  Esta muestra sirve para repasar qué técnicas están utilizando los cibercriminales para engañar a las personas, qué tipo de archivos adjuntos utilizan y qué tipo de malware estuvieron propagando.

Las entidades a las que se les roba la identidad suelen ser reconocidas y de confianza, puede ser el banco con el que se opera, un organismo estatal, una empresa de gran tamaño. Los mensajes que circulan suelen tener un tono de urgencia: corroborar datos para un supuesto envío por correo, aprovechar una oferta por tiempo limitado, y un sinfín de otros pretextos para hacer caer a los usuarios en la trampa. El atacante puede lograr la infección con el programa malicioso, luego de la que víctima descarga un archivo, generalmente un Excel o un Word.

ESET analiza ejemplos reales de correos donde los atacantes intentaron aprovechar vulnerabilidades conocidas en torno a Microsoft Office, las que utilizan para descargar archivos maliciosos en el dispositivo de la víctima. En los correos recopilados por ESET el malware distribuido eran troyanos de acceso remoto, más conocidos como RAT, como Agent Tesla, AsyncRAT o njRAT. Pero no es el único tipo de malware que utiliza el correo como método de distribución. Por otra parte, en muchas campañas observamos que utilizaron la técnica de email spoofing para hacer creer que los correos eran enviados por empresas legítimas.

Spoofing de correo electrónico: En el spoofing, los delincuentes falsifican la dirección de correo del remitente para que parezca que el mensaje viene de un banco, una empresa reconocida, un organismo de gobierno o incluso un compañero de trabajo. Como el correo parece legítimo, el usuario se confía y hace clic en enlaces maliciosos o descarga archivos adjuntos infectados con malware.

En los ejemplos identificados por ESET, se observa cómo los ciberdelincuentes suplantan la identidad de personas reales, que trabajan o trabajaron en las empresas, y hacen más creíble el engaño e inducen al error del usuario desprevenido. Esta técnica dificulta la detección del engaño ya que en un principio no se ven como direcciones sospechosas.

A continuación, ESET presenta algunos ejemplos de cómo operan estos engaños en base a qué vulnerabilidades explotan para instalar malware en los equipos de la víctima:

Vulnerabilidad CVE-2017-1182: En este caso, se observa un correo en que se anexa una orden de compra en formato .xls, de Excel. El análisis del archivo adjunto arrojó que estaba infectado con un malware que aprovechará la vulnerabilidad CVE-2017-1182, para descargarlo en el equipo de la víctima.

Esta vulnerabilidad, junto con CVE-2012-0143, fue la más explotada durante 2023, según la Telemetría de ESET.

Vulnerabilidad CVE-2017-0199: En este otro ejemplo se puede apreciar el mismo modo de operación, y el mismo engaño: un adjunto que simula ser un parte de un proceso de compraventa, con un detalle de pedidos. Suplantando a una empresa mexicana y haciendo email spoofing de uno de sus empleados reales.  El análisis de ESET del Excel adjunto informó que se trata de un malware que explotará la vulnerabilidad CVE-2017-0199, mediante el cual descargará otro tipo de malware al equipo de la víctima.

También ESET identificó otros ejemplos de adjunto malicioso que contiene el exploit para la vulnerabilidad CVE-2017-0199. Luego, la campaña descarga otro tipo de malware en el equipo de la víctima. La persona que se menciona como remitente del correo trabajó en DHL.

“Estas campañas e intentos de engaño están muy presentes en la región latinoamericana. La evolución de las amenazas y sus formas de cambiar los engaños para hacerlos más creíbles, hacen muy necesario que siempre estés alerta y se desconfíe de correos y otras formas de comunicación que no se hayas solicitado.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET comparte los siguientes mensajes para evitar caer en este tipo de engaños:

Nunca descargar archivos adjuntos, sin antes verificar la autenticidad del remitente, que pueden ser hasta de una dirección que a primera vista parece legítima.

No olvidar que en estos tipos de engaños con el fin de infectar con malware o para robar información, también pueden hacer llegar un link apócrifo que llevará a una página que simulará ser legítima. Tener especial cuidado en hacer clic en enlaces sospechosos.

A nivel de las organizaciones y empresas es crucial el fortalecimiento de las políticas de seguridad y la capacitación del personal en mejores prácticas de seguridad informática.

Mantener los sistemas actualizados y contar con una solución de seguridad adecuada es fundamental para minimizar los riesgos.

https://www.eset.com/latam | X / IG: @esetla