Nueva campaña de Phishing que te roba tus datos con archivos falsos de WeTranfers

Se ha detectado una nueva campaña de phishing a través del envío de archivos falsos de WeTransfer para robar las claves de los usuarios. Prestad atención a las características de esta nueva campaña, revisad con cuidado vuestra bandeja de entrada y no lo más importante no caigais en la trampa.

El phishing está a la orden del día y continúa siendo una de las estrategias preferidas por los ciberdelincuentes para robar las contraseñas de las víctimas. En esta ocasión ha sido descubierta una nueva campaña dirigida a los usuarios de WeTransfer, el popular servicio en la nube que permite enviar y recibir archivos de gran tamaño de manera gratuita.

De acuerdo con el informe de ESET, los atacantes envían a las víctimas un correo electrónico que indica que el destinatario ha recibido dos archivos vía WeTransfer. El mensaje simula los emails que envía el servicio para compartir archivos, e incluye los nombres de los ficheros, el peso y la fecha de eliminación de la plataforma, así como un botón para proceder a su descarga.

El remitente es el indicativo más claro de que nos encontramos ante un correo electrónico falso, ya que en lugar de ser el habitual (noreply @wetransfer.com), se trata de una dirección correspondiente a un dominio de correo desconocido. 

En caso de hacer clic en el botón para descargar los supuestos archivos de WeTransfer, en lugar de ir a la web legítima el enlace dirige a la víctima a una página falsa que imita el diseño del servicio oficial. Si te fijas en la barra de direcciones, verás que el dominio no es el oficial, sino un dominio de Chile. 

Una vez en la página falsa, el sistema solicita que se introduzcáis los credenciales de WeTransfer para descargar los archivos, otro factor que tiene que hacer que la víctima desconfíe, ya que el servicio nunca solicita claves de ningún tipo para efectuar la descarga.

En caso de introducir vuestras credenciales, caerán en manos de los atacantes y serás redirigido a una página que indica que la descarga de los archivos ha expirado. Por lo tanto, el único objetivo de esta campaña es robar contraseñas, ya que no se lleva a cabo la descarga de ficheros infectados con malware. 

Si habeís recibido este correo falso de WeTransfer y habéis caído en la trampa, cambiad vuestra contraseña cuanto antes y avisad al servicio de lo que te ha sucedido. Además, si cometéis el error de utilizar las mismas claves para acceder a otras cuentas y perfiles, también es recomendable que las modifiquéis.

Fuente: ESET, ComputerHoy

Nueva campaña de e-mails falsos que usan como cebos presupuestos en Excel para propagar malware.

Se ha detectado una reciente campaña de ciberataques que consisten en una estafa propagada por correo electrónico, en este caso involucrando archivos maliciosos, con formato .xls pidiendo presupuestos.

Los mensajes están escritos de una forma muy correcta, en un perfecto castellano. Además, al parecer provienen de empresas reales y legítimas (incluso conocidas) e incluso incluyen la firma y logos de estas.

Al tratarse de correos remitidos desde empresas reales muchos de los usuarios que los recibieron interpretaron que se trataba de correos legítimos y bajaron la guardia, descargando el fichero adjunto en formato Microsoft Excel, aunque también hemos visto como se usaban otros formatos como .rtf y doc.

El fichero Excel malicioso adjunto tiene una peculiaridad con respecto a otros casos anteriores, y es que antes de solicitar al usuario que permita la ejecución de contenido (macros) en el documento (una opción que viene desactivada por defecto), intenta aprovechar la vulnerabilidad CVE-2017-11882 en Microsoft Office de hace un año (concretamente la parte que afecta al editor de ecuaciones EQNEDT32.EXE) para comenzar su actividad maliciosa una vez abierto el documento y sin necesitar una interacción posterior del usuario. El uso de esta vulnerabilidad además del método clásico puede ser un indicador de que los delincuentes intentaban maximizar el número de infecciones.