El uso de noticias impactantes para llamar la atención de los usuarios es una técnica utilizada desde hace mucho tiempo para propagar malware,  pero a pesar de ser ampliamente conocida aún es utilizada intensivamente. Muestra de esto es el correo que durante el día de hoy llego a nuestro laboratorio con una noticia proveniente de una de las cadenas de noticias más importantes de Colombia. Después de analizar el contenido del mismo nos dimos cuenta que dirigía a un sitio totalmente diferente al relacionado en el contenido del mensaje.

Al seguir este enlace, inmediatamente se activa la descarga de un archivo comprimido, que al ser descomprimido, a pesar de tener un icono que pareciera indicar que se trata de un video, al explorar las propiedades nos damos cuenta que realmente es un aplicación. Todo este análisis lo hicimos en una máquina virtual para poder detectar el origen del archivo malicioso. Pero si un usuario tratara de seguir el enlace malicioso en una máquina con una solución antivirus cómo ESET NOD32, inmediatamente se detecta que hay un código malicioso que trata de descargarse y por lo tanto muestra un mensaje de alerta y cancela la descarga, evitando la infección del usuario.


Al continuar analizando un poco más la muestra y su origen se pudo detectar que además de esta campaña se encuentra otro archivo que igualmente puede estar siendo utilizado para propagar un código malicioso similar.

Esta otra campaña se trata del anuncio de un supuesto listado de páginas web fraudulentas simulando ser emitido por la Fiscalía General de la Nación de Colombia. Al analizar este archivo, nos encontramos nuevamente con un código malicioso que por su icono simula ser un archivo de PowerPoint. A pesar de no haber detectado otro correo donde se propague este otro código malicioso, es importante resaltar que el hecho de encontrar un archivo de estas características abre la posibilidad para que sea utilizado en otras campañas de propagación similares.

Ambas muestras son detectas por el motor de heurística de las soluciones de ESET como variantes diferentes del troyanos Win32/Injector. Por esta razón queremos recordar a nuestros lectores el cuidado que deben tener al respecto de este tipo de ataque que utilizan Ingeniería Social y que ponen como eje temas que suelen ser de bastante interés. Este tipo de correos por sus características incrementan la posibilidad de que un usuario sea infectado al explotar la curiosidad del mismo. Cómo se puede observar ambas campañas giran alrededor de temas potencialmente interesantes y podrían hacer caer a un usuario desprevenido. Les recomendamos leer nuestra guía para identificar correos falsos, la cual aporta algunos consejos muy útiles que pueden poner en práctica para disminuir las posibilidades de una infección.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research