ESET Latinoamérica alertó sobre una campaña en México de mensajes de correo electrónico intimidatorios dirigidos a usuarios del Servicio de Administración Tributaria (SAT), que llega a la bandeja de entrada de las potenciales víctimas.
En un comunicado, la empresa en detección proactiva de amenazas señaló que el correo fraudulento solicita al usuario regularizar su situación fiscal, en el cual se debe revisar un documento de Word adjunto (Informe_SAT.doc), el cual se descargará desde un sitio de Internet.
Explicó que al hacerlo, se permitirá la ejecución de macros o instrucciones que ya han sido programadas por el atacante, y dicho malware ha sido identificado por las soluciones de seguridad de ESET como VBA/TrojanDownloader.Agent.ASR.
Estos macros, a su vez, permiten la descarga y posterior ejecución de una segunda muestra de malware, misma que posee un formato PE (Portable Executable) identificado como Win32/Neurevt.I.
Para Miguel Ángel Mendoza, security researcher de ESET Latinoamérica, siempre se recomienda desconfiar de los mensajes intimidatorios o que suenan demasiado buenos para ser verdad, pues son algunas de las prácticas más comunes de los cibercriminales para engañar a los usuarios.
“En la mayoría de los casos, cuando se trata de un correo legítimo, éste suele estar personalizado y generalmente la información ha sido solicitada con anterioridad”, expuso.
Ante ello, ESET sugiere cinco preguntas que deberá hacerse el usuario antes de acceder a cualquier enlace. La primera es si se confía en la persona que envía o publica el enlace, ya que si no se está seguro se debe verificar antes de abrir o descargar cualquier archivo.
Una segunda pregunta es si se confía en la plataforma, pues si el enlace ha sido compartido en la Intranet de la compañía o en un grupo privado de WhatsApp no hay motivo de preocupación, pero se debe tener precaución si hay algo en la carpeta de spam del correo electrónico o en una cuenta anónima de Twitter.
ESET recomienda también cuestionarse acerca de la confianza que se tiene en el destino del enlace, debido a que si no lo conoce, no debería hacer clic en él y sí hacer una búsqueda web y visitar el sitio web a través de esa ruta.
Las campañas de phishing intentan coincidir con eventos de trascendencia, ya que los cibercriminales aprovechan cualquier ocasión para hacer que un usuario haga clic en un enlace que los lleve a un sitio web malicioso, como algún desastre natural, Juegos Olímpicos o Copas Mundiales.
En el caso de los enlaces acortados, un cibercriminal puede acortarlos utilizando Bitly, goo.gl o cualquier otro servicio, con el objetivo de que el usuario confíe en dicho enlace como proveniente de una fuente confiable, y si se combinan con un correo auténtico, el usuario podría pensar que se trata de un mensaje legítimo de un usuario legítimo.
Debido a lo anterior, ESET aconseja dudar de los correos de la bandeja de entrada y usar servicios como LongURL y CheckShortURL, para restaurar el enlace recortado a su original.