Los ciberdelincuentes están en plena campaña de suplantación de compañías como Movistar, Vodafone e Iberdrola a través de correos electrónicos falsos.

ESTE, la empresa especializada en ciberseguridad, ha alertado de este nuevo fraude cuyo objetivo es engañar a los usuarios mediante correos electrónicos fraudulentos que simulan comunicaciones oficiales y que buscan robar credenciales o instalar 'malware'.

La campaña, analizada por el director de Investigación y Concienciación de ESET España, Josep Albors, muestra cómo los atacantes envían correos electrónicos que imitan "con gran precisión" las comunicaciones de estas compañías.

En dichos correos electrónicos se incluyen logotipos oficiales, remitentes falsificados y mensajes diseñados para generar urgencia (como facturas pendientes o avisos de corte del servicio), con el fin de llevar a los usuarios a páginas fraudulentas o inducirles a descargar archivos maliciosos, informa Europa Press.

"Como es previsible, el enlace proporcionado en el 'email' redirige a una web preparada por los delincuentes y que está alojada en servidores de una empresa que lleva meses siendo usada por varios grupos de delincuentes para alojar sus webs fraudulentas y ficheros maliciosos. En esta web se nos mostrará la descarga de un supuesto fichero PDF, aunque la realidad es bien diferente", indica Albors en su blogpost.

Abrir el fichero descargado

En la misma línea, el director de Investigación y Concienciación de ESET España sostiene que la finalidad de este engaño es que la víctima descargue y abra el fichero descargado pensando que es una factura en formato PDF.

"En realidad, según el fichero descargado está en formato .ISO y contiene en su interior un script de Visual Basic. Este script es el encargado de iniciar la cadena de infección, ejecutado a través de Windows Script Host", expresa Josep Albors.

Asimismo, Albors subraya que la funcionalidad del script malicioso es la de descargar en el sistema un archivo ejecutable como payload y que realizará la actividad maliciosa determinada por los delincuentes responsables de esta campaña.

Josep Albors remarca que, como en "otras muchas ocasiones", el script se encuentra "ofuscado" y además "contiene cadenas de texto como relleno para dificultar su análisis". Durante la ejecución del código malicioso descargado por el script VBS puede verse cómo se muestra al usuario una ventana de alerta indicando que hay algún problema con la suscripción de Adobe Acrobat Pro.

"Estos mensajes suelen mostrarse para distraer a la víctima que espera que se abra un documento PDF, mientras el malware ejecuta sus acciones en segundo plano", afirma Albors.

Los ciberdelincuentes perfeccionan sus tácticas para dificultar que los usuarios distingan entre un correo legítimo y uno fraudulento

Con respecto al ejecutable malicioso descargado tras la ejecución del VBS, Josep Albors apunta que este tiene algunas características que les hacen pensar que se trata de un spyware o infostealer, aunque no han encontrado indicios que apunten "a alguna familia en concreto".

En esa línea, Albors asevera que "es posible que se trate de una campaña que esté probando nuevas variantes y que estas aun estén en desarrollo por parte de los delincuentes".

Desde la empresa de ciberseguridad han destacado que este hallazgo "evidencia cómo los ciberdelincuentes perfeccionan constantemente sus tácticas para dificultar que los usuarios distingan entre un correo legítimo y uno fraudulento".

"Los delincuentes aprovechan la confianza que los usuarios depositan en marcas muy reconocidas para aumentar las probabilidades de éxito. Por eso es fundamental desconfiar de los correos electrónicos sospechosos y verificar siempre la autenticidad de los mensajes antes de hacer clic en enlaces o descargar archivos adjuntos", ha señalado Albors.