La suplantación de empresas de logística y mensajería es la estafa más popular entre los ciberdelincuentes, debido a que utilizan el clásico phishing mediante SMS para engañar a los usuarios.
Recientemente, ESET alerta de dos correos electrónicos fraudulentos que supuestamente provienen de FedEx y DHL. A primera vista parecen legítimos para muchos de los usuarios, debido a que los mensajes indican que, para continuar con los trámites, es necesario abrir el fichero adjunto que abrirá una web desarrollada por los ciberdelincuentes.
La página muestra el inicio de sesión a DHL y FedEX para introducir las contraseñas de acceso, asimismo, la preparación de estas estafas no es complicada.
ESET señala que "tras revisar los ficheros adjuntos a los dos emails vemos que con pocas líneas de código HTML y tirando de recursos online, cualquiera puede preparar webs de este estilo que sean más o menos creíbles. Hemos decidido fijarnos para ver si hay alguna coincidencia entre ambos correos, encontrando un enlace al mismo dominio donde los delincuentes guardan los ficheros que almacenan las contraseñas que van obteniendo".
Conociendo la URL, se puede acceder al directorio que los aloja dentro del mismo dominio comprometido, pero en carpetas separadas. Esta pista es suficiente para afirmar que los responsables de ambas campañas de phishing son los mismos.
Asimismo, si se accede al directorio raíz, se puede observar cómo hay otros directorios que, probablemente estén relacionados con otras campañas recientes.
Los correos de DHL propagan el malware Agent Tesla
Los ciberdelincuentes usan un dominio que no tiene relación con la empresa DHL, teniendo en cuenta que solicitan la descarga y ejecución del fichero adjunto que tiene una extensión CAB (no muy usual para la mayoría de los usuarios que reciben este correo electrónico).
Al abrir este archivo, se inicia una cadena de ejecución que lanza un comando mediante PowerShell para instalar el payload de 'Agent Tesla'. Dicho malware roba contraseñas almacenadas en aplicaciones de uso cotidiano, navegadores de Internet y VPN, además, obtiene información del dispositivo infectado.
Posteriormente, los datos se envían a los delincuentes mediante correo usando la configuración que tiene incrustada el malware en su código y, normalmente, abusan de servidores legítimos que han sido previamente comprometidos.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios