No hay duda de que los productos Apple despiertan pasiones entre varios usuarios y Latinoamérica no es la excepción. Esta ocasiona que haya una gran penetración en el mercado Latinoamericano de dispositivos móviles con los productos de la empresa de la manzana. Este hecho no es ajeno a los cibercriminales y una prueba de esto es el número de campañas de malware que circulan en la actualidad. Recientemente hemos detectado una campaña dirigida a los usuarios de Apple y que tiene como objetivo estafar al usuario.

Polimorfismo en las campañas

Esta estafa comienza con un correo electrónico en el que se presenta información sobre una falsa compra de una aplicación. Toménse unos segundos para poder advertir las señales que podrían indicar que se tratar de un correo apócrifo:

En la siguiente imagen se resaltan algunos puntos que debieran resultar sospechosos:

Se puede observar un remitente sospechoso, sumado a un saludo dirigido a un usuario genérico y un archivo adjunto, son razones suficientes para sospechar de que se trata de un correo falso. Sin embargo, para terminar de confirmarlo, veamos que dice el documento (en caso de no estar seguro de la veracidad de un correo, recomendamos nunca abrir los archivos adjuntos incluidos):

Afortunadamente, el documento no contiene ningún exploit, pero sí presenta un enlace para reportar la compra que el usuario no hizo (“Report a Problem”), y es allí dónde se encuentra el enlace malicioso. En la siguiente captura puede verse que la URL no pertenece a ningún dominio de Apple:

Sin lugar a dudas esta no es una técnica nueva, pero lamentablemente sigue siendo efectiva, ya que al hacer clic el usuario es direccionado a una página de Phishing que veremos más adelante.

Un segundo correo apócrifo para la misma victima

Lo que sí es llamativo de esta campaña es que se utilizan dos correos electrónicos como señuelo, cuando normalmente suele tratarse de uno solo. En el cuerpo de este mail se puede apreciar como nuevamente se utiliza el recurso de verificar la cuenta, lo cual redireccionará al usuario al mismo sitio de phishing del correo anterior.

La página es muy similar a la original y tiene como intención alertar al usuario de que algo malo ha sucedido, por lo que se le solicita que restablezca su contraseña:

De esta manera, el sitio robará información básica como usuario y contraseña, pero no se quedará sólo con eso: luego continuará pidiendo más información como por ejemplo preguntas de seguridad hasta llegar a robar datos de tarjeta de crédito:

Conclusión

Más allá de la novedad de esta campaña que envía dos correos diferentes al usuario y de lo atractivo que resulta que utilice a Apple como engaño, esta amenaza no es ninguna novedad. A pesar de tratarse de un tipo de ataque poco complejo técnicamente, evidentemente estos son redituables para los ciberdelincuentes, quienes se aprovechan del poco conocimiento o la falta de atención por parte de los usuarios. Por eso siempre es importante estar al tanto de que este tipo de amenazas existen, tomarse un momento para reflexionar sobre los correos recibidos, saber advertir las señales de este tipo de ataques y contar con una solución de seguridad.