La suplantación de servicios de paquetería por aparte de los ciberdelincuentes es una técnica clásica que continua muy vigente actualmente. Buena prueba de ello son las dos campañas que hemos observado propagándose con pocas horas de diferencia y que utilizan el nombre de la empresa DHL para que los usuarios se confíen y descarguen ficheros adjuntos maliciosos o pulsen sobre enlaces fraudulentos.

Posiblemente haya sido casualidad que dos campañas de propagación de amenazas que usan a DHL como gancho se hayan visto tan juntas en el tiempo, sobre todo si tenemos en cuenta el funcionamiento de cada una de ellas y sus objetivos.

Por un lado, tenemos una campaña de correos en español donde se indica que no se ha podido entregar un paquete gestionado supuestamente por esta empresa. En el interior de este correo, bastante bien redactado y con logotipos oficiales, se encuentra un enlace que invita al usuario a programar una nueva entrega para su paquete, enlace que redirige a una web fraudulenta preparada por los delincuentes donde se solicita todo tipo de información personal, incluyendo los datos de la tarjeta de crédito.

En el momento de redactar este artículo dicha web ya no se encuentra activa, aunque podemos revisar los datos de registro del dominio usado por los delincuentes para comprobar como este se realizó hace apenas dos días, justo antes de iniciarse esta campaña de correos maliciosos.

Por otro lado, tenemos el correo suplantando a DHL escrito en inglés y que parece dirigido a usuarios de más regiones, no solo a españoles como el anterior. Además de una buena redacción y suplantación de imagen corporativa, en este caso los delincuentes también han cuidado el detalle de hacer creer a los usuarios de que el correo provienen de una dirección de email legítima, algo que en el correo anterior se pasó por alto.

En lugar de intentar convencer al receptor de este mensaje para que pulse sobre un enlace, en esta ocasión los delincuentes adjuntan un fichero comprimido al mensaje, fichero que contiene código JavaScript responsable de ejecutar la primera fase de la cadena de infección.

Este código JavaScript se encuentra ofuscado de tal forma que intenta dificultar su análisis, haciendo que el ordenador trabaje mucho tiempo en bucles inútiles, además de esconder su código para que sea más difícil de detectar. No obstante, si revisamos el código podemos ver como, casi al final, se hace una llamada a una URL donde está colgado un archivo PowerShell, que será el responsable de ejecutar la segunda etapa de la infección.

El script PowerShell update.ps1 es el responsable de ejecutar el payload de esta campaña, VIP Keylogger (una variante de Snake Keylogger). Este código malicioso está diseñado para robar información del ordenador, como contraseñas guardadas en el navegador, datos almacenados en clientes de correo, todo lo que se escriba con el teclado y también para realizar capturas de pantalla, además de comunicarse con servicios externos para enviar esa información a los atacantes.

Cabe destacar que este script PowerShell se encuentra cifrado con una clave AES-256 para dificultar su detección y posterior análisis, así como que también usa varios procesos de Windows para camuflar su actividad mientras se encuentra funcionando.

Una vez el malware consigue robar toda la información interesante del sistema del usuario la envía usando alguna de las configuraciones preestablecidas al generar la muestra. En esta ocasión vemos como se utiliza un servidor de correo para enviar por email toda la información robada, mientras que para recibir ordenes se utiliza un bot de Telegram.

Nos encontramos ante una nueva campaña que, aun siendo bastante frecuente y tratarse de una familia de amenazas muy reconocida, sigue representando un serio problema tanto para empresas como para usuarios domésticos. Las credenciales robadas de esta forma pueden venderse y ser usadas para lanzar ataques más dirigidos que pueden causar graves perjuicios a las víctimas por lo que siempre se recomienda estar alerta ante este tipo de correos y contar con soluciones de seguridad capaces de detectar incluso las amenazas más ofuscadas.