¿Cómo identificar un email infectado con un virus?

por Olivia Morelli - -

El spam y el phishing son las dos técnicas más efectivas que ayudan a los ciber criminales a obtener sus malas ganancias. La humanidad se convierte cada vez en más y más dependiente de las tecnologías y especialmente de Internet, y nos hemos dado cuenta de cómo los ciber criminales se unen a grupos organizados, los cuales trabajan duro para ejecutar malévolos proyectos para robar dinero de las víctimas que menos lo sospechan.

De hecho, algunos expertos creen que este crimen desorganizado ha cesado de existir ya. Otros muchos tienden a pensar que los ciber criminales son hackers super avanzados que conocen cómo usar códigos para romper la seguridad de los sistemas e incluso tomar el control de los ordenadores de los usuarios, aunque la realidad es bastante diferente. En la mayoría de los casos, estos ciber criminales son simplemente estafadores que usan métodos de ingeniería social para engañar a usuarios a que instalen malwares en sus ordenadores.

El uso de spam y phishing es el mejor método de proliferación de malware y, como evidencia de ello, se puede ver su lógica evolución en el ciber crimen. De hecho, no hay necesidad de gastar horas creando elaborados esquemas de ataque cuando lo que se necesita para hackear una red de ordenadores es convencer solo a un empleado inocente para que abra el archivo adjunto a un email que parece legítimo.

Esta técnica está probada como muy eficiente y los hackers aceleran considerablemente la distribución de malware con ella. Por ejemplo, 2017 es ampliamente conocido como el año del ransomware, y el hecho es que incluso el 93% de los emails phishing del primer cuatrimestre de 2017 contenían ransomware. Claramente, hay amplios jardines para creer que la extensión del spam y del phishing en 2018 va a crecer incluso más.

Ejemplos de spam maliciosos

Los emails cargados con malware son el vector de ataque más eficiente. Los spammers rápidamente explotan los grandes eventos (eventos deportivos, ventas, temporada de impuestos, etc.) y envían cientos y miles de mensajes temáticos, aunque algunos de ellos están rondando todo el año. Los ejemplos aportados abajo desvelan los emails phishing que normalmente son usados para la proliferación de malware. Con suerte, estos ejemplos te ayudarán a identificar los emails phishing en el futuro y a convertirte en más escéptico sobre la confianza de emails enviados por individuos desconocidos.

Ejemplo Nº 1. Factura o emails de ofertas de trabajo

Los emails phishing que contienen un archivo adjunto normalmente son enviados por especialistas en reclutamiento, administradores o propietarios de empresas que quieren tomar decisiones de contratación. Estos emails normalmente contienen unas pocas líneas de texto, invitan a la persona a abrir el archivo adjunto.

Normalmente, los estafadores esperan que estos emails phishing convenzan a la víctima para intentar infectar una empresa o una gran organización. Estos emails fueron principalmente usados en las campañas de spam de distribución de CryptoWall 3.0, GoldenEye, y Cerber. Mira más ejemplos de estos emails phishing abajo.

Ejemplo Nº 2. Emails phishing que declaran ser parte del gigante del eCommerce Amazon

Los ciber criminales tienden a intentar engañar a los usuarios de Amazon con emails falsos enviados desde cuentas falsas que parecen legítimas a primera vista. Estos emails phishing pueden ser usados para robarle el dinero a las víctimas o enviar un archivo adjunto email que puede traer consigo un serio virus de ordenador.

Por ejemplo, los estafadores que estuvieron usando la dirección email auto-shipping@amazon.com para enviar miles de emails que contenían el ransomware Locky. Estos emails incluían un título como: “Your Amazon.com Order Has Dispatched (#order_number)” y contenían un archivo adjunto ZIP que traía un malicioso archivo JS el cual, una vez abierto, descargaba el ransomware desde una página web. Abajo, puedes ver un ejemplo de un email malicioso que contiene Locky y un ejemplo que fue obtenido durante el análisis de la campaña de distribución de Spora.

Amazon email scams

Ejemplo Nº 3. Facturas

Otra técnica muy exitosa que ha ayudado a aumentar la distribución del ransomware Locky y que estaba envuelta en los emails phishing era una que traía consigo un archivo adjunto llamado “ATTN: Invoice-[random code].” Estos emails engañosos contenían unas pocas líneas de texto en el cuerpo del mensaje, pidiendo a la víctima “abrir la factura adjunta (Microsoft Word Document).” El único problema es que el documento Word contenía un script malicioso que se activaba a través de la función Macro. Un ejemplo del email phishing descrito lo encontrarás abajo.

Malicious emails distributing Locky

Ejemplo Nº 4. Spam que explota el tema de grandes eventos deportivos

¿Te gustan los deportes? Entonces debes tener mucho cuidado con el spam deportivo. Últimamente, los investigadores de Kaspersky se han dado cuenta de un incremento de emails phishing centrados en usuarios interesados en la Liga de Campeones de Europa, la Copa del Mundo de 2018 y 2022 así como los Juegos Olímpicos en Brasil.

Estos mensajes contienen un archivo ZIP malicioso que contiene un Troyano (descargador de malware) en forma de archivo JavaScript. De acuerdo con los expertos, el Troyano está configurado para descargar más malware en el ordenador. Mira un ejemplo de este mensaje malicioso abajo.

Malicious spam targeting FIFA fans

Ejemplo Nº 5. Spam basado en el terrorismo

Los ciber criminales no se olvidan de que el terrorismo es uno de los títulos de interés actualmente. No es sorprendente que este tema haya sido también usado en spam maliciosos. El spam basado en el terrorismo no es uno de los favoritos de los ciber criminales; sin embargo, debes saber qué puedes esperar. Te proporcionamos un ejemplo de estos mensajes email abajo. Por lo que se conoce, este tipo de spam es generalmente usado para robar datos personales, ejecutar ataques DDoS y difundir malware.

Terrorism-based phishing emails

Ejemplo Nº 6. Emails que proporcionan “reportes de seguridad”

Los investigadores han detectado otra campaña de emails que distribuyen documentos Word maliciosos. Resulta que estos documentos también contienen una macros infecciosa que descarga y ejecuta el  ransomware CryptXXX en cuanto la víctima activa la función. Este email contiene un título tal que así: “Security Breach – Security Report #[random code].”

El mensaje contiene la dirección IP de la víctima y la localización del ordenador, haciendo que la víctima crea que el mensaje es de confianza. El mensaje avisa de amenazas inexistentes, como rupturas en la seguridad, que obviamente están inventadas y que sugieren comprobar con el archivo adjunto al email. Por supuesto, el adjunto es malicioso.

Phishing emails delivering ransomware

Ejemplo Nº 7. Spam malicioso supuestamente enviado por empresas legítimas

Con el fin de convencer a la víctima para que abra el archivo adjunto a un email, los estafadores pretenden ser alguien que no son. El modo más fácil para engañar al usuario y que abra un archivo adjunto malicioso es crear una cuenta de email engañosa que es casi idéntica a la que usa la empresa legítima.

Usando estas cuentas emails falsas, los estafadores atacan a los usuarios con emails realmente bien compuestos que traen consigo una carga explosiva maliciosa en el archivo adjunto. El ejemplo de abajo muestra un email que ha sido enviado por estafadores que pretenden hacerse pasar por trabajadores de la empresa Europcar.

Scammers impersonate Europcar employees

Este ejemplo provisto abajo muestra el mensaje usado en un ataque contra clientes de la empresa A1 Telekom. Estos mensajes phishing incluyen engañosas URLs de Dropbox que contienen archivos ZIP o JS maliciosos. Los análisis han revelado que estos archivos contenían el  virus Crypt0l0cker.

Mail spam targeting A1 Telekom users

Ejemplo Nº 8. Tareas urgentes de tu jefe

Recientemente, los estafadores han comenzado a usar un nuevo engaño que les ayuda a robar el dinero de las víctimas más inocentes en pocos minutos. Imagina que recibes un correo de tu jefe, diciéndote que está en vacaciones y que necesita hacer un pago urgente a alguna empresa, ya que el jefe estará fuera en breve.

Tristemente, si tienes prisas en obedecer estas órdenes y no compruebas los pequeños detalles antes de hacerlo, puedes acabar transfiriendo dinero a un criminal o, incluso peor, infectando la red completa de ordenadores con malware. Otro engaño que puede convencerte para que abras estos archivos adjuntos malicioso es pretender ser tu colega. Este engaño puede tener éxito si estás trabajando para una gran empresa y no conoces a tus compañeros. Puedes ver un par de ejemplos de estos emails phishing abajo.

Task from boss spam

Ejemplo Nº 9. Phishing basado en el tema impuestos

Los estafadores conocen y siguen los esquemas de impuestos de diferentes países y regiones y no pierden la oportunidad de iniciar campañas spam basadas en el tema de impuestos para distribuir programas maliciosos. Usan una variedad de tácticas de ingeniería social para engañar a las víctimas para que descarguen archivos maliciosos que llegan junto a estos correos engañosos.

Estos archivos adjuntos normalmente traen consigo troyanos bancarios (keyloggers) los cuales, una vez instalados, robar la información personal de las víctimas, como su nombre, apellidos, logueos, información de la tarjeta de crédito y datos similares. El programa maliciosos puede esperar en forma de archivo adjunto o ser enviado en un enlace insertado en el mensaje. Abajo, puedes ver un ejemplo de un email que envía una falsa factura de tasas que contiene un troyano.

Income Tax Receipt virus

Los estafadores también intentan llamar la atención de los usuarios y forzarles a abrir archivos adjuntos maliciosos declaran que hay una acción pendiente de aplicación de la ley contra ellos. El mensaje dice que necesita hacerse algo “contra esta citación”, la cual está adjunta al mensaje. Por supuesto, el archivo adjunto no es una citación – es un documento malicioso que se abre Protegido y que pide a la víctima Habilitar la Edición. En consecuencia, el código malicioso en el documento descarga el malware en el ordenador.

Tax Subpoena scam

El ejemplo final muestra cómo los estafadores intentan engañar a los usuarios para que abran los archivos adjuntos. El email parece provenir de alguien que busca la asistencia de la CPA y, por supuesto, contiene un archivo adjunto o dos. Estos simplemente son documentos Word maliciosos que activan un script y descargan el malware desde un servidor remoto en cuanto la víctima los abre.

Tax Phishing

¿Cómo identificar emails maliciosos y mantenerse seguro?

Hay varios principios para evitar los emails maliciosos:

  • Olvídate de la carpeta SPAM. Hay razones por las que muchos correos acaban en la carpeta SPAM o en la Papelera. Esto significa que los filtros del email han identificado automáticamente que idénticos emails están siendo enviados a miles de personas, o que la vasta mayoría de los recipientes ya los ha marcado como Spam. Los emails legítimos que caen en esta categoría son en muy pocos casos, por lo que es mejor que te alejes de estas carpetas.
  • Comprueba el remitente de un email antes de abrirlo. Si no estás seguro del remitente, no interactúes con los contenidos de estos emails. Incluso si tienes un programa antivirus o anti-malware, no hagas click en los enlaces añadidos al mensajes y no abras los archivos adjuntos sin pensártelo antes. Recuerda – incluso los mejores programas de seguridad pueden fallar a la hora de identificar la marca de un nuevo virus si eres uno de los primeros objetivos. Si no estás seguro del remitente, puedes siempre llamar a la empres que declara estar trabajando y preguntarle por el email que has recibido.
  • Mantén la seguridad de tu PC actualizada. Es importante no tener programas antiguos en el sistema, ya que normalmente están repletos de vulnerabilidades de seguridad. Para evitar estos riesgos, habilita las actualizaciones automáticas de los programas. Recuerda – solo los programas de seguridad actualizados pueden proteger tu ordenador. Si estás usando uno antiguo y pretender retrasar la instalación de sus actualizaciones, permitirás plenamente la entrada de programas maliciosos para que entren rápidamente en tu ordenador sin que sean identificados y bloqueados.
  • Conoce si la URL es segura sin hacer click en ella. Si el email que has recibido contiene una URL sospechosa, pasa tu ratón por encima para comprobar su validez. Luego mira la esquina inferior izquierda de tu navegador. Deberías ver la URL real a la que vas a ser redirigido. Si parece sospechosa o acaba en .exe, .js o .zip, ¡NO hagas click en ella!
  • Los ciber criminales normalmente tiene pobre habilidades de escritura. Con esto, a menudo escriben breves mensajes sin corregir los errores tipográficos o gramaticales. Si te das cuenta de alguno, aléjate de las URLs insertadas en el cuerpo del mensaje o de los archivos adjuntos.
  • ¡NO tengas prisas! Si ves que el remitente te pide abrir un archivo adjunto o un particular enlace, es mejor que te lo pienses dos veces antes de hacerlo. El archivo adjunto muy probablemente contenga algún malware.

Sobre el autor

Olivia Morelli
Olivia Morelli

Analista de malware...

Contactar con Olivia Morelli
Sobre la empresa Esolutions

Leer en otros idiomas


Archivos
Software
Comparar
Me Gusta en Facebook