Nueva oleada de correos maliciosos con la imagen de Correos infecta con Cryptolocker

04/12/2014
CSIRT-cv
Desde ayer se han detectado multitud de alertas de correos fraudulentos haciéndose pasar por Correos. En el correo se insta al usuario a descargar una notificación de una carta certificada que no ha podido ser entregada. Actualización: El malware es una variante de torrentlocker y la infección ha afectado a otros muchos países.

Actualización 5/Dic/2014:
Parece ser que el malware que infecta los equipos es una variante de torrentlocker que se identifica erróneamente como cryptolocker (informe en inglés con una línea temporal de las versiones anteriores encontradas). En cualquier caso, es una variante diferente a las ya vistas y todavía no se ha encontrado una solución fiable para recuperar los ficheros. Siempre que sea posible, recomendamos esperar y no pagar por dos razones: no tenemos la certeza de que se vayan a poder descifrar los ficheros, y también es posible que alguien dé con la solución correcta para poder descifrar los ficheros de forma segura.

Además, también hay reportes de que la misma campaña se está llevando a cabo en otros países, como Holanda e Italia, haciéndose pasar también por los servicios postales de cada país. En el siguiente enlace tenemos información centralizada y actualizada (en inglés) sobre esta variante y todas las campañas que comprende en diferentes países. También podemos ver varios métodos para recuperar ficheros, pero no son aplicables a todos ya que dependen de cómo tuvieramos configurado el equipo anteriormente.

Las últimas versiones de cryptolocker y torrentlocker detectadas en los últimos meses buscan las libretas de direcciones de Thunderbird, Outlook y Windows Live Mail para nutrirse de direcciones de correo y nombres de nuevas víctimas a las que enviar correos fraudulentos. Esto coincide con las muestras que hemos podido analizar, por lo que todo apunta a que la propagación ha sido a través de esta vía. Si además tenemos en cuenta que mucha gente abre su correo personal en el trabajo, el salto del ámbito personal, generalmente es más fácil encontrar correos personales en listados de cuentas publicados por internet, a los correos corporativos, está servido.

Como comenta Yago Jesús en su post, toda la gente que ya ha sido infectada debe mantenerse alerta ya que es posible que vuelvan a ser objeto de nuevas campañas de correos maliciosos más pronto que tarde.

Entrada original:

Esta nueva oleada de correos fraudulentos dirigida a usuarios de todo el territorio español se viene detectando desde ayer (3 de diciembre) y se hace pasar por la Sociedad Estatal Correos y Telégrafos, más conocida simplemente como Correos.

El alcance de esta oleada ha sido importante ya que ha afectado a bastantes personas y organizaciones. Tanto Policía Nacional como Guardia Civil se han hecho eco de la noticia a las pocas horas de su aparición.

El correo está bien elaborado ya que viene personalizado con el nombre del usuario víctima. Su aspecto se puede ver a continuación:

Antes de continuar debemos recordar que, si detectamos que un correo puede ser malicioso (ya publicamos una pequeña guía sobre cómo detectar este tipo de correos), no debemos pulsar ningún enlace existente en él ni enviar nuestros datos personales, ya que probablemente acabemos con nuestro equipo infectado, o con nuestras cuentas comprometidas y siendo utilizadas por delincuentes para cometer sus fechorías. 

Aún así, vamos a mostrar el proceso que seguiría este fraude hasta infectar al usuario, para mostrar pequeños detalles que pueden alertar al usuario de que no es un correo lícito.

En la imagen anterior podemos ver como el correo dice venir de la dirección "support@correos24.net", y el enlace para descargar información nos lleva también a una página del dominio correos24.net. Una pequeña búsqueda en Google con el término "Correos" nos muestra que el dominio oficial de correos es correos.es y no al que nos intentan enviar.

Si a pesar de ello el usuario accede al enlace, se le envía a una página como la siguiente:

El diseño está bien cuidado y se asemeja mucho a la página oficial de correos, pero nuevamente vemos en la barra de direcciones un dominio que no corresponde con el oficial: correos-online.org.

Si finalmente, el usuario introduce el captcha, se le redirige a la descarga de un fichero comprimido, que es el que contiene el software malicioso que infecta el equipo:

Aquí vemos dos cosas sospechosas:

  • Por una parte, indica que la descarga comenzará en "1 secondi...". Esta palabra en italiano debería hacernos sospechar.
  • Por otra, el fichero se descarga de otro servidor externo, en este caso un subdominio de mediafire.com, un conocido servidor de descarga y almacenamiento de ficheros. En este servidor un usuario puede subir cualquier fichero y ponerlo a disposición del público de forma fácil y gratuita.

Pero los problemas no acaban aquí. Al abrir el fichero comprimido nos encontramos con un fichero ejecutable (con extensión .exe) que contiene una variante de CryptoLocker, un peligroso ransomware que cifra todos los documentos de todos los discos duros conectados al equipo y nos pide un rescate a cambio de descifrarlos. Además, se propaga obteniendo toda nuestra lista de contactos y reenviándoles el correo malicioso, de ahí que en el correo inicial aparezca nuestro nombre completo.

Fuente: CSIRT-CV

Añadir nuevo comentario