Clicky

Malware en PDF falso: Statement from MARKETING & TECHNOLOGY GROUP, INC.

malware en adjunto PDF del correo electrónico

Nunca abras archivos adjuntos al correo electrónico con extensiones .EXE, .COM, .PIF o .SCR

Fingiendo venir de TECHNOLOGY GROUP <rwilborn[at]mtgmediagroup.com>; con un archivo .zip adjunto es otra de las formas que utilizan actualmente los bot que intentan descargar en el ordenador troyanos y ladrones de contraseñas especialmente diferentes robos de credenciales bancarias, que pueden incluir cridex, dridex, dyreza y varios Zbots, CryptoLocker, ransomware y un montón de otros tipos de malware. Hoy he recibido un correo de este tipo y explico los detalles para que evites ser infectado.

Ellos están usando direcciones de correo electrónico y temas que atraerán a un usuario a leer el correo electrónico y abrir el archivo adjunto. Una proporción muy elevada están dirigidos a empresas pequeñas y medianas, con la esperanza de conseguir una mejor respuesta que ellos hacen de los consumidores.

Casi todos ellos también tienen un componente para robar contraseñas, con el objetivo de robar tu banco, PayPal u otros detalles financieros, junto con tu correo electrónico o FTP (espacio web) si ingresas las credenciales. Muchos de ellos también han sido diseñados específicamente para robar cuentas de Facebook u otros detalles de registro de redes sociales.

Todos los presuntos remitentes, las empresas, los nombres de los empleados y los números de teléfono mencionados en los correos electrónicos son todos inocentes y se escogen al azar. Algunas de estas empresas existen y otras no. No trates de responder por teléfono o correo electrónico, lo único que harás es terminar con una persona o empresa inocente que han tenido sus datos falsificados y elegido al azar de una larga lista que los malos han encontrado previamente. Los malos eligen empresas, departamentos gubernamentales y organizaciones con textos que están diseñados para causar alarma e inducir a abrir el archivo adjunto a ciegas o haciendo clic en el enlace del correo para ver qué está pasando.

email con virusEl correo se ve así:

Cabecera del mensaje:

From: "TECHNOLOGY GROUP" {rwilborn[at]mtgmediagroup.com}
Subject: Statement from MARKETING & TECHNOLOGY GROUP, INC.

Cuerpo del mensaje:

Dear Customer :

Your statement is attached. Please remit payment at your earliest convenience.

Thank you for your business "“ we appreciate it very much.

Sincerely,

MARKETING & TECHNOLOGY GROUP, INC

El correo adjunto es este: docs2015.zip

Pero al extraerlo contiene este otro archivo docs2015.exe con el icono de un archivo PDF.

SHA256: 1b893ca3b782679b1e5d1afecb75be7bcc145b5da21a30f6c18dbddc9c6de4e7

Como vemos en el análisis de Virus Total contiene dos archivos que te pueden infectar:

CMC Packed.Win32.Obfuscated.10!O 20150304
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150309

Este es otro de los archivos de iconos falsificados que, a menos que tengas habilitado en Propiedades de Carpeta "Mostrar extensiones de archivo conocidas", se verá como un archivo PDF adecuado en lugar del archivo .exe que realmente es, así que es mucho más probable que puedas abrirlo accidentalmente y ser infectado.

Ten mucho cuidado con los archivos adjuntos de correo electrónico. Todos estos mensajes de correo electrónico utilizan trucos de ingeniería social para persuadirte a abrir los archivos adjuntos que vienen con el correo electrónico. Tanto si se trata de un mensaje que dice "mira esta imagen que me tomé ayer por la noche" y que parece provenir de un amigo o está más dirigido a alguien que pueda recibir archivos adjuntos PDF o archivos adjuntos .doc de Word o cualquier otro archivo común que con regularidad utilizas todos los días.

La regla básica es NUNCA abrir ningún archivo adjunto a un correo electrónico, a menos que estés esperándolo. Ahora, es muy fácil de decir pero muy difícil de poner en práctica, porque todos recibimos correos electrónicos con archivos adjuntos a ellos. Nuestros amigos y familia les encanta enviar sus fotos haciendo cosas tontas, o incluso lindas imágenes de los niños o mascotas.

Nunca hagas clic ciegamente en el archivo en el programa de correo electrónico. Guarda siempre el archivo en la carpeta de descargas, para poder comprobarlo primero con tu antivirus (OJO, yo lo he hecho con Avast y no lo ha detectado, pero sospechando de la extensión .exe le he pasado el 360 Total Security y si me ha detectado el troyano).

La mayoría (si no todos) los archivos maliciosos que se adjuntan a mensajes de correo electrónico tendrán una extensión falsa. Es decir los 3 caracteres al final del nombre de archivo.

Desafortunadamente las ventanas por defecto ocultan las extensiones de archivo por lo que necesitas establecer las Opciones de carpeta a "mostrar los tipos de archivo conocidos".

Luego, cuando descomprimas el archivo zip que se supone que contiene las imágenes de "perro de Alicia atrapando una pelota" o un informe en formato de documento de Word que supuestamente te envía trabajo para continuar trabajando en el fin de semana, puedes ver fácilmente si es una imagen o un documento y no un programa malicioso. Si ves .EXE o .COM o .PIF o .SCR al final del nombre de archivo NO hagas clic en él o intentes abrirlo, te infectará.

Jesus_Caceres