Las campañas de phishing y malspam están en plena marcha para las vacaciones y una nueva campaña que pretende ser una confirmación de pedido de Amazon es particularmente peligrosa ya que las personas compran regalos de vacaciones.
En una nueva campaña malspam descubierta por la empresa de seguridad de correo electrónico EdgeWave , los atacantes envían correos electrónicos disfrazados como confirmaciones de pedidos de Amazon muy convincentes. Estas confirmaciones de pedidos falsos se envían con líneas de asunto que incluyen “Su pedido de Amazon. com”, “Detalles de pedidos de Amazon” y “Su pedido 162-2672000-0034071 se ha enviado”.
Cuando abra estos correos electrónicos, se le mostrará una confirmación de pedido que indica que su artículo ha sido enviado, pero sin ningún tipo de información sobre lo que se solicitó o la información de seguimiento. Luego le indica al destinatario que haga clic en el botón Detalles de la orden para ver más información.
Cuando un usuario hace clic en este botón, descargará un documento de Word llamado order_details.doc . Cuando se abra este archivo, indicará que necesita habilitar el contenido para poder verlo correctamente como se muestra a continuación.
Si un usuario hace clic en el botón Habilitar contenido, se activarán macros que ejecutan un comando de PowerShell que descarga y ejecuta el troyano bancario Emotet en la computadora de la víctima. En este caso, el nombre del troyano era mergedboost.exe , pero cuando EdgeWave probó el maldoc, le dijeron a BleepingComputer que Emotet se estaba descargando como Keyandsymbol.exe en ese momento.
Este troyano ahora se ejecutará de manera silenciosa en segundo plano, mientras registra los golpes de tecla, roba información de la cuenta y realiza otras actividades no deseadas en la computadora.
EdgeWave le dijo a BleepingComputer que esta campaña utiliza servidores comprometidos ubicados en Columbia, Indonesia y los Estados Unidos de América.
"Curiosamente, estos otros servidores están en Houston y Lansing. Al jugar a Dora the Explorer por un momento, hemos encontrado un servidor de correo electrónico comprometido en Columbia que envía correos electrónicos de suplantación de identidad con un enlace a un servidor en Indonesia que descarga malware que luego se comunica con servidores comprometidos Estados Unidos. ¡Las vacaciones son verdaderamente globales! "
Debido a lo fácil que podría ser para un destinatario caer en esta estafa, es importante que los usuarios presten mucha atención a quién les envía los correos electrónicos antes de intentar abrir cualquier documento o interactuar con el correo electrónico. Esto es especialmente cierto durante las vacaciones cuando es común recibir una gran cantidad de correos electrónicos de proveedores en línea.
Al recibir un correo electrónico, es importante examinar de quién proviene y si parece remotamente sospechoso, simplemente elimine el correo electrónico ya que siempre puede iniciar sesión en el sitio en cuestión para verificar el estado de un pedido. En este caso, si bien los correos electrónicos eran correctos y parecían idénticos a una confirmación de pedido de Amazon, la dirección de correo electrónico de la que provenía era claramente sospechosa. Algo tan simple como eso debería ser la única razón por la que solo necesita eliminar el correo electrónico.
Internet es un lugar de miedo en todo momento durante el año, pero más aún durante las vacaciones. Tenga cuidado y sea seguro.