ESET identifica dos nuevas campañas de phishing que suplantan DHL
- Seguridad
Una de las técnicas de suplantación de identidad más clásicas, en las que los ciberdelincuentes se hacen pasar por una empresa de mensajería, sigue vigente en la era de la IA, como demuestran las nuevas campañas detectadas, de origen probablemente diferente, pero con la misma marca como gancho.
Con la implantación del ecommerce como una opción de compra habitual, es constante el movimiento de paquetes, incluso fuera de las temporadas de consumo masivo. Es la principal razón por la que se mantiene vigente una de las tácticas más clásicas del phishing, la suplantación de empresas de mensajería como gancho para atraer a las víctimas potenciales.
Con una diferencia de apenas unas horas, ESET ha descubierto dos campañas diferentes que suplantan la identidad de la empresa de mensajería DHL. Una de ellas se basa en emails en castellano en que se avisa de que no se ha podido entregar un paquete, con un enlace para programar una nueva entrega. Si se accede al enlace, en una web fraudulente se pide “todo tipo de información personal, incluyendo los datos de la tarjeta de crédito”.
En la otra campaña de mails se suplanta a DHL en inglés, con una factura un poco mejor porque la dirección de email del remitente parece legítima. En este caso no hay enlace, sino un archivo comprimido adjunto, con un JavScript ofuscado que desencadena la primera fase de la infección. Este código acaba llamando a una URL con un archivo PowerShell, que lanza la segunda fase de la infección.
El malware final de la campaña es el malware VIP Keylogger, “diseñado para robar información del ordenador, como contraseñas guardadas en el navegador, datos almacenados en clientes de correo, todo lo que se escriba con el teclado y también para realizar capturas de pantalla, además de comunicarse con servicios externos para enviar esa información a los atacantes”.
Josep Albors, director de investigación y concienciación de ESET España, explica que, pese a ser “una familia de amenazas muy reconocida, sigue representando un serio problema tanto para empresas como para usuarios domésticos. Las credenciales robadas de esta forma pueden venderse y ser usadas para lanzar ataques más dirigidos que pueden causar graves perjuicios a las víctimas por lo que siempre se recomienda estar alerta ante este tipo de correos y contar con soluciones de seguridad capaces de detectar incluso las amenazas más ofuscadas”.
