Hace algunos días hemos detectado una nueva campaña de propagación destinada a usuarios chilenos. El correo electrónico simula provenir de una conocida compañía de telefonía móvil y afirma que el usuario ha resultado ganador de un iPhone 5.

Aunque hasta aquí no existe ninguna novedad respecto de otros casos similares, la gran diferencia de esta campaña es que utiliza la geolocalización con el objetivo de conseguir las víctimas correctas y que el código malicioso pase inadvertido una mayor cantidad de tiempo para aquellos que no son su público objetivo. A continuación se muestra una captura del correo electrónico:

Correo electrónico de campaña de propagación geolocalizada

Es importante mencionar que todas las imágenes del mensaje y el texto poseen el enlace hacia la amenaza. Si la potencial víctima hace clic sobre cualquiera de esos enlaces, es dirigida hacia la descarga del archivo formulario.exe. Sin embargo, antes de que esto ocurra, un sitio malicioso comprueba si la descarga se está iniciando a partir de una conexión a Internet perteneciente a Chile. En caso contrario, el usuario es redirigido hacia otra página que no contiene malware. Se trata de un sitio genuino de la empresa de telefonía móvil que los cibercriminales intentan suplantar en el mensaje. De este modo, los atacantes se aseguran que los usuarios infectados pertenecen a Chile y aquellos que no, crean que se trate de un concurso real para que no lo denuncien. En la siguiente imagen es posible apreciar el sitio que visualizan aquellas personas provenientes de otros países (en base al origen de su conexión a Internet):

Sitio legítimo de la empresa de telefonía móvil

Otro método que utilizaron los ciberdelincuentes para optimizar esta campaña de propagación geolocalizada es la comprobación del user agent. Mediante esta técnica se comprueba el navegador y sistema operativo que utiliza el usuario. Al tratarse de un código malicioso diseñado para Windows, el sitio comprueba si la potencial víctima está utilizando el sistema operativo de Microsoft. En caso contrario también es redirigido hacia el sitio legítimo de la compañía mencionada anteriormente. Este comportamiento lo corroboramos ingresando al enlace engañoso mediante un iPhone y un teléfono inteligente con Android, ambos utilizando una conexión a Internet de origen chileno. Este mecanismo contribuye todavía más a que este código malicioso pase inadvertido una mayor cantidad de tiempo y se evite utilizar ancho de banda innecesariamente. El siguiente esquema resume el comportamiento de la página maliciosa y el contenido final que se le entrega al usuario en base al origen de la conexión y el user agent:

Esquema de propagación de malware utilizando geolocalización

Como se puede apreciar, la campaña utiliza tres sitios. El primero consiste en un servidor que comprueba el origen de la conexión y el user agent del usuario. Luego, existe una segunda página que está alojada en un servidor web vulnerado y que inicia la descarga del archivo formulario.exe en caso de cumplirse los requisitos necesarios. El tercer sitio que utilizan los cibercriminales es legítimo y pertenece a la compañía de telefonía móvil que suplantan. Este se muestra en caso que el usuario no provenga de Chile o esté accediendo desde un dispositivo que tenga otro sistema operativo que no sea Windows. Como técnica de Ingeniería Social destaca el uso de este sitio legítimo que además, muestra una lista de países en los que está presente esta compañía de telefonía móvil, por lo tanto, contribuye a disminuir la sospecha del usuario.

Por otro lado, el uso de geolocalización por parte de los cibercriminales no es algo nuevo en América Latina. Durante 2012 pudimos observar casos similares de phishing que utilizaban geolocalización para obtener mayor rédito económico y además un  segundo caso de phishing geolocalizado que también afectaba a Brasil. En caso que fueran brasileños se les mostraba el sitio fraudulento, de lo contrario, aparecía un mensaje de acceso denegado. No obstante, cabe destacar que esta campaña de propagación se diferencia de los otros dos casos al ser un código malicioso (y no phishing) y por la comprobación del user agent, técnica ya utilizada en el análisis del comportamiento de VOlk. El archivo formulario.exe es un troyano detectado por los productos de ESET como Win32/Qhost.Banker.NC. Se trata de una amenaza que modifica el archivo hosts de la víctima (pharming local) para redirigirla hacia sitios fraudulentos cuando intenta ingresar a determinadas direcciones pertenecientes a entidades bancarias.

A lo largo de los años hemos evidenciado cómo los cibercriminales mejoran las campañas de propagación con el fin de poder maximizar el rédito económico. El uso de geolocalización y comprobación del user agent forman parte de esta tendencia. Por lo mismo, el usuario debe evitar seguir enlaces recibidos por correos electrónicos o redes sociales. Asimismo, recomendamos la lectura del post Guía para identificar correos falsos con el objetivo de que las personas puedan determinar si se trata de un mensaje legítimo o malicioso.

André Goujon
Especialista de Awareness & Research