Una nueva campaña de phishing utiliza el nombre de la empresa de telecomunicaciones Movistar, intentando convencer a sus víctimas para que pulsen en un enlace relacionado con una supuesta factura. Aunque esta técnica es usada constantemente por los delincuentes desde hace muchos años, no por eso ha dejado de ser efectiva.

En el caso que nos ocupa hoy observamos como se ha preparado un correo bastante escueto pero que utiliza el logo de la empresa suplantada e invita a descargar una supuesta factura. Por el formato elegido y la composición del correo, este parecería dirigido principalmente a usuarios domésticos, aunque no descartamos que alguna empresa haya podido caer en la trampa.

A pesar de que el correo es escueto y el dominio del correo del remitente (aunque trate de hacerse pasar por legítimo) no se corresponde con el de la empresa suplantada, el cuerpo del mensaje, y como está preparado hacen bastante creíble el engaño. Obviamente, este enlace no redirige a ninguna página asociada con Movistar sino a una web preparada por los delincuentes desde la que se procede a descargar un archivo comprimido.

Un detalle interesante de esta campaña y que ya hemos visto en ocasiones anteriores es que, antes de proceder con la descarga del fichero se nos solicita que resolvamos un proceso de verificación para descartar bots. Esto suelen usarlo los delincuentes para evitar sistemas automatizados de detección y análisis de amenazas, consiguiendo así que sus campañas permanezcan activas más tiempo.

Cuando se accede a la web preparada por los delincuentes observamos como, además de proceder a descargarse el archivo comprimido, se nos muestra unas frases indicando que la descarga se ha iniciado y que solo debemos esperar un momento para completarla.

Con respecto a estos dominios usados en campañas similares, suelen ser de reciente creación e incluso son reutilizados, aunque a simple vista no tengan relación con la empresa que están suplantando. En este caso en concreto vemos como el domino se registró hace 48 días y muy probablemente se haya usado en campañas anteriores suplantando alguna administración pública.

Una vez descargado el fichero comprimido, si procedemos a abrirlo veremos como de nos muestra un archivo HTA. El formato no es el habitual para una factura, puesto que no se muestra como un archivo ofimático como un PDF o Word, pero, aun así, los delincuentes confían en que los usuarios pasarán por alto este detalle y procederán a ejecutar el fichero igualmente.

El fichero HTA se puede abrir como si fuera uno de texto y ver su contenido. Al hacerlo con este vemos como incluye un redirector a otra URL controlada por los delincuentes y que es la responsable de alojar la carga maliciosa relacionada con esta campaña.

Por último, y con respecto a la finalidad de es esta amenaza, nos encontramos ante un troyano que recopila información del sistema, información que los delincuentes pueden usar para desplegar otras amenazas más personalizadas y robar así información confidencial como, por ejemplo, credenciales almacenadas en el sistema o en aplicaciones de uso cotidiano.

Tal y como acabamos de comprobar, no hace falta una excesiva sofisticación técnica para que los delincuentes consigan sus objetivos. En la mayoría de los casos, usar un cebo potente bien diseñado basta para que muchos usuarios bajen la guardia y descarguen y ejecuten en sus sistemas códigos maliciosos. Por eso es fundamental contar con soluciones de seguridad que detecten y bloqueen tanto este tipo de correos de phishing como las amenazas que terminan ejecutándose en el sistema, evitando así graves consecuencias.