No es la primera vez que los ciberdelincuentes emplean como tema de Ingeniería Social alguna noticia falsa que involucre a ciertas autoridades de un determinado país para propagar códigos maliciosos. Si en enero fue el turno del mandatario chileno Sebastián Piñera, esta vez es el de Ricardo Martinelli, actual presidente de Panamá. Dicho ataque fue reportado por nuestro distribuidor exclusivo en ese país, Micro Technology.
Según el correo malicioso propagado por los cibercriminales, Martinelli habría sido encontrado abusando de una menor de 12 años de forma ensordecedora y sin piedad, hecho que supuestamente fue registrado por una cámara oculta que instalaron los padres para probar el inventado acto de pedofilia. Dentro del texto también se afirma que el video fue subido a Internet como forma de evitar que se evada la justicia.
Aunque en esta oportunidad los ciberdelincuentes mejoraron su ortografía al hacer un uso más adecuado de tildes, la gramática sigue siendo un punto débil que podría despertar la sospecha de los usuarios más precavidos. Más allá de los errores de redacción que suelen cometer los autores de estas amenazas informáticas, el correo electrónico simula provenir de un conocido medio informativo panameño en el que se afirma que tendría la primicia y el material audiovisual exclusivo a disposición de los lectores.
Si el usuario decide seguir interiorizándose de este falso acontecimiento haciendo clic en el video, estará siendo dirigido a un sitio que intenta descargar un archivo .EXE detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Kryptik.ACKK troyano. Cabe destacar que en esta ocasión, los cibercriminales se han fijado en dos detalles que pueden resultar claves para alcanzar índices de propagación más altos pese a la redacción inadecuada. Por un lado, el código malicioso se encuentra alojado en un sitio cuya URL o dirección utiliza el nombre real del medio pero con un guión. Esto significa que la posible víctima al verificar el enlace, podría creer que se trata de uno genuino debido a la similitud en el nombre. Este tipo de situaciones reafirman nuevamente por qué debe evitarse en lo posible, seguir hipervínculos provenientes de correos o redes sociales. En segundo lugar, y aunque parezca una pequeñez, el archivo utiliza un icono adecuado al contexto, es decir, el de aparentar ser un video. Hemos observado en otras amenazas que el icono es algo que suele ser descuidado. También, cabe mencionar que todas las imágenes utilizadas en este correo electrónico poseen el mismo hipervínculo hacia el sitio malicioso.
Recomendamos la lectura de nuestra Guía para identificar correos falsos, publicación que le permitirá al usuario determinar la veracidad de sus correos electrónicos.
André Goujon
Especialista de Awareness & Research