Como es costumbre en las campañas de propagación e infección por malware, suele utilizarse un tema de actualidad para aplicar técnicas de Ingeniería Social que pretenden engañar a las personas, tal como sucedió como la emergencia ambiental en Santiago de Chile, aprovechada para propagar códigos maliciosos.
En esta ocasión utilizando como temática los recientes cambios aplicados a las leyes de tránsito en el mismo país, ha comenzado a propagarse un programa malicioso a través de correos electrónicos que simula ser una infracción de tránsito. La campaña, que llegó al Laboratorio de Investigación de ESET Latinoamérica de mano de Lockbits, uno de nuestros partners en Chile, comienza con un mensaje como el siguiente que refiere a una falsa multa de tránsito:
La supuesta multa en línea llega a la bandeja de entrada de la potencial víctima indicando que se ha infringido el reglamento de tránsito, lo cual la hace acreedora a una multa. Junto con un mensaje intimidatorio, el engaño se presenta porque el correo no muestra la “foto-multa”, instando al usuario a dirigirse a un sitio web donde se descarga un archivo.
El programa es un troyano que busca descargar otras amenazas de Internet (detectado por las soluciones de seguridad de ESET como Win32/TrojanDownloader.Delf.BKF). Se trata de un archivo ejecutable que se encuentra empaquetado con UPX, pero que con la extensión modificada aparenta ser un archivo de texto.
Luego de ejecutar el troyano, se genera un conjunto de archivos ejecutables dentro de la carpeta ‘Local’, que generalmente almacena datos que no se pueden mover con el perfil de usuario y donde los navegadores web suelen almacenar los archivos temporales. De esta manera, se intentarán descargar más archivos maliciosos en el equipo de la víctima.
Como se observa, se trata de una muestra de malware muy parecida a otras que han sido detectadas con anterioridad y que operan bajo el principio de los downloaders, para descargar otras amenazas de Internet.
¿Cómo protegerse de estas amenazas?
El principal vector de propagación son los mensajes de correo electrónico que incluyen enlaces para descargar el programa malicioso; por lo tanto, hacemos hincapié en verificar los remitentes de dichos mensajes, aunque esto tampoco es un garantía ya que la cuenta de correo de un contacto de confianza pudo hacer sido comprometida.
Por lo tanto, siempre es recomendable desconfiar de este tipo de mensajes intimidatorios o aquellos que suenan demasiado buenos para ser verdaderos, evitando en la medida de lo posible acceder a enlaces desconocidos o descargar este tipo archivos de Internet. En la mayoría de los casos, cuando se trata de un correo legítimo suele estar personalizado y en muchas ocasiones son correos que han sido solicitados con anterioridad.
Además, recordar que los cibercriminales suelen utilizar temáticas de actualidad para realizar campañas de infección y propagación de malware. Por lo tanto, las prácticas antes descritas y contar con una solución de seguridad instalada y actualizada nos permitirán disfrutar de tecnología más segura.