Una nova campanya de pesca fa servir el nom de l’empresa de telecomunicacions Movistar, i intenta convèncer les seves víctimes perquè polsin en un enllaç relacionat amb una suposada factura. Tot i que aquesta tècnica l’han feta servir els delinqüents durant molts anys, encara avui és efectiva.

En el cas que ens ocupa avui observem com s’ha preparat un correu força breu però que utilitza el logotip de l’empresa suplantada i convida a descarregar una suposada factura. Pel format triat i la composició del correu, aquest semblaria dirigit principalment a usuaris domèstics, tot i que no descartem que alguna empresa hagi pogut caure a la trampa.

Malgrat que el correu és curt i el domini del correu del remitent (encara que tracti de fer-se passar per legítim) no es correspon amb el de l’empresa suplantada, el cos del missatge, i com està preparat fan força creïble l’engany. Òbviament, aquest enllaç no redirigeix ​​a cap pàgina associada amb Movistar sinó a un web preparat pels delinqüents des de la qual es descarrega un fitxer comprimit.

Un detall interessant d’aquesta campanya i que ja hem vist en ocasions anteriors és que abans de procedir amb la descàrrega del fitxer se’ns sol·licita que resolguem un procés de verificació per descartar bots. Això solen fer-lo servir els delinqüents per evitar sistemes automatitzats de detecció i anàlisi d’amenaces, amb la qual cosa aconsegueixen que les seves campanyes romanguin actives més temps.

Quan s’accedeix al web preparat pels delinqüents observem com, a més de descarregar-se l’arxiu comprimit, se’ns mostra unes frases indicant que la descàrrega s’ha iniciat i que només hem d’esperar un moment per completar-la.

Pel que fa a aquests dominis usats en campanyes similars, solen ser de creació recent i fins i tot es reutilitzen, malgrat que a simple vista no tinguin relació amb l’empresa que estan suplantant. En aquest cas en concret veiem com el domini es va registrar fa 48 dies i molt probablement s’ha fet servir en campanyes anteriors suplantant alguna administració pública.

Un cop descarregat el fitxer comprimit, si l’obrim veurem com ens mostra un fitxer HTA. El format no és l’habitual per a una factura, perquè no es mostra com un fitxer ofimàtic tipus PDF o Word, però, així i tot, els delinqüents confien que els usuaris passaran per alt aquest detall i igualment executaran el fitxer.

El fitxer HTA es pot obrir com si fos un text i veure’n el contingut. En fer-ho veiem com inclou un redirector a un altre URL controlat pels delinqüents i que és el responsable d’allotjar la càrrega maliciosa relacionada amb aquesta campanya.

Finalment, i pel que fa a la finalitat d’aquesta amenaça, ens trobem davant d’un troià que recopila informació del sistema, informació que els delinqüents poden utilitzar per desplegar altres amenaces més personalitzades i d’aquesta manera robar informació confidencial com, per exemple, credencials emmagatzemades al sistema o en aplicacions d’ús quotidià.

Tal com acabem de comprovar, no cal una excessiva sofisticació tècnica perquè els delinqüents aconsegueixin els objectius. En la majoria dels casos, fer servir un esquer potent ben dissenyat és suficient perquè molts usuaris abaixin la guàrdia i descarreguin i executin en els seus sistemes codis maliciosos. Per això és fonamental disposar de solucions de seguretat que detectin i bloquegin tant aquest tipus de correus de pesca com les amenaces que s’acaben executant al sistema, cosa que evita conseqüències greus.