Desde hace tiempo, la suplantación de marcas reconocidas ha sido una técnica utilizada por los delincuentes para tratar de engañar a los usuarios y hacerles pulsar sobre un enlace malicioso o descargar ficheros infectados. Muchos intentan hacerse pasar por empresas reconocidas mundialmente como Amazon, eBay o Paypal pero también vemos cómo, ocasionalmente, algunos delincuentes utilizan empresas locales para conseguir la confianza de los internautas de una región en concreto.

Análisis de un e-mail fraudulento en Brasil

Este es el caso que analizamos hoy, donde una oleada de correos maliciosos se hacen pasar por una conocida tienda de electrónica brasileña e indican que hay una factura pendiente de pago, con el fin de propagar malware en Brasil. Tal y como se puede observar en el correo que vemos a continuación, se ofrece la posibilidad de descargar esa factura en dos formatos supuestamente diferentes, como son XML y PDF.

kabum_correo

No obstante, siempre que recibes un correo de este tipo que no estabas esperando, venga de la empresa que venga, siempre es buena idea revisar las cabeceras para comprobar si el remitente es en realidad quien dice ser -o se trata de un caso de spoofing y alguien está suplantando la identidad de otra persona y empresa.

kabum_cabecera

En este caso se ve rápidamente que, aunque el remitente parezca ser la tienda online Kabum, tanto el ID del mensaje como la ruta de retorno del correo apuntan a un dominio de Ucrania. De hecho, si volvemos a revisar el mensaje original, observaremos cómo aparecen caracteres extraños provocados por el uso de una codificación de caracteres distinta al portugués al redactar el correo.

Enlaces que descargan malware

Continuando con el análisis, el siguiente punto que debemos revisar es a dónde apuntan realmente los enlaces que se nos facilitan para descargar la supuesta factura. Si pasamos el cursor por encima de ellos veremos cómo se nos redirige a un sitio de almacenamiento de ficheros pero tampoco llegamos a ver qué tipo de fichero es. No obstante, una empresa responsable no utilizaría este tipo de servicios de almacenamiento online para guardar documentos con datos privados de sus clientes como son las facturas, y eso es algo que debemos tener en cuenta a la hora de sospechar que se trata de un engaño.

kabum_enlace

Si pulsamos sobre alguno de los enlaces proporcionados, lo que realmente descargaríamos es un fichero ejecutable. En esta ocasión los delincuentes no se han molestado en intentar ocultar la extensión, algo que combinado con la utilización de un ícono que simule representar el documento que se pretende suplantar, suele cosechar bastante éxito entre usuarios desprevenidos.

kabum_descarga

Tras descargar los ficheros infectados a nuestro sistema observamos cómo la única diferencia aparente es que cada uno de ellos tiene un nombre diferente, dependiendo de si el usuario pulsó sobre la opción de descargar la factura en formato PDF o XML.

Por suerte, la empresa de almacenamiento de archivos ya ha empezado a eliminar algunos de estos enlaces maliciosos aunque, en el momento de redactar esta noticia, algunos aún se encontraban activos.

kabum_ficheros

Análisis del malware

Los usuarios de las soluciones de seguridad de ESET que tengan su antivirus actualizado están protegidos contra esta amenaza, que es detectada como una variante de Win32/TrojanDownloader.VB.QRG. Esta definición significa que el malware tiene la capacidad de descargar nuevos códigos maliciosos al sistema infectado, según crea conveniente el delincuente que lo propaga, y le permite aumentar sus funcionalidades delictivas.

El análisis de este malware también revela que su finalidad principal es el robo de información de los navegadores instalados en el sistema. Esta información suelen ser normalmente contraseñas o cookies de sesión guardadas para autenticarse en servicios online, por lo que parece que los delincuentes tratan de suplantar la identidad de los usuarios afectados.

El uso que hagan los delincuentes puede variar y va desde el robo de dinero desde cuentas bancarias a la publicación de enlaces maliciosos en las cuentas de las redes sociales de las víctimas. Como dato curioso, uno de los enlaces que el malware incluye en su código es el de la web de la Câmara Municipal de Turmalina, probablemente para darle un poco de credibilidad al engaño.

kabum_camara

Conclusión

Este tipo de mensajes con ficheros maliciosos vienen repitiéndose a lo largo de los últimos años con mayor o menor éxito dependiendo de la campaña. No obstante, el uso de empresas o administraciones locales siempre suele conseguir un éxito relativamente mayor que el uso de multinacionales presentes en varios países, ya que los usuarios suelen confiar en aquellos sitios online que conocen bien por su cercanía.

Las recomendaciones para evitar caer en este tipo de trampas son bien sencillas: desconfiar de aquellas notificaciones que no estemos esperando, revisar que el remitente es quien dice ser y andar con mucho cuidado con los ficheros que se descargan (especialmente si son de un tipo diferente al esperado).