De nuevo tenemos que hablar de un correo electrónico spam que se está enviando de forma masiva a los usuarios de todo el mundo, apareciendo entre los afectados usuarios ubicados en nuestro país. Con un asunto común y un origen que responde a sales@servicio_utilizado.tld, los ciberdelincuentes están distribuyendo los instaladores de dos amenazas bastante conocidas, tanto por los expertos como usuarios. Hablamos de Trickbot y Locky.

Para ser más precisos, los ciberdelincuentes están procediendo al envío de correos electrónicos con el asunto Scan0XXX, donde las “X” son números aleatorios utilizados para conformar el asunto. Lo que persiguen los ciberdelincuentes es hacer creer al usuario que está recibiendo un correo electrónico del departamento de ventas de alguna de las tiendas que utiliza. Teniendo en cuenta que son muchos los usuarios que con una frecuencia mayor optan por realizar las compras en tiendas de Internet, no resulta para nada descabellado utilizar esta táctica para estafar a los usuarios.

Los expertos en seguridad indican que a los correos electrónicos se está adjuntando un archivo .7z que es el que contiene los scripts que llevan a cabo la descarga del instalador de la amenaza desde una dirección indicada en el propio script de forma fija.

Indican que, en la mayoría de las situaciones, los mecanismos de seguridad de los servicios de correo electrónico deben ser suficientes para enviar estos mensajes a la carpeta de spam. Sin embargo, es posible que algún mensaje pueda evadir estos controles y que el usuario acceda a su contenido por error. De ahí que sea necesario extremar las precauciones.

Locky y Trickbot: Dos malware distribuidos en este ataque spam

Para todos aquellos que no se acuerden, nos encontramos ante uno de los ransomware más poderosos de los últimos años y un troyano bancario que ha puesto en jaque a miles de usuarios en todo el mundo. La idea de los ciberdelincuentes parece bastante clara: lo que no consiga uno que lo haga el otro. Con Locky provocan la pérdida de información, es decir, el cifrado de la misma y que esta quede inaccesible. Se solicita el abono de una cantidad para recuperar el acceso a la información. Sin embargo, el pago no garantiza que eso sea así, siendo una de las opciones que los expertos en seguridad desaconsejan.

En el caso de no sacar tajada del ransomware, los ciberdelincuentes hacen llegar al equipo infectado una segunda amenaza en forma de troyano bancario. Tal y como su propio tipo indica, su tarea radica sobre la manipulación de las páginas web a las que accede el usuario. De esta forma, los ciberdelincuentes modifican el formulario o bien derivan la navegación a páginas web falsas. Esto permitirá la recopilación de información bancaria de la víctima.

Existe más de una treintena de ubicaciones desde las que se realiza la descarga de estas amenazas.

Expertos en seguridad indican que, en el caso de realizar la descarga de los instaladores y su ejecución, las herramientas de seguridad deberían ser capaces de bloquear la instalación y que no se consiga infectar el equipo. Son amenazas relativamente antiguas, por lo tanto, las herramientas de seguridad deberían estar listas para llevar a cabo su detección.