La semana pasada ya hablamos de esta compañía y de que uno de sus productos había sido utilizado como imagen en una campaña de spam. Lo de hoy es mucho más serio porque se han utilizado cuentas de correo legítimas de Intuit para distribuir malware entre los clientes y otros usuarios. El malware utilizado es una variante de Cryptolocker conocida con el nombre de Cryptowall.
La mejor forma de llamar la atención del usuario es hablar sobre temas referidos a las cuentas bancarias. Se trata de un gancho que siempre provoca que los usuarios sientan curiosidad o necesidad de mirar la documentación que es adjuntada. En este correo se ve como se insta al usuario a comprobar la información de la cuenta antes de que el cargo sea realizado y de comprobar los detalles de las nóminas para verificar que todo se encuentra correcto. Para realizar esto se puede recurrir al archivo adjunto que se encuentra disponible. Podéis visitar nuestro tutorial sobre saber si un correo es falso.
Sin embargo, en el archivo adjunto no se encuentra ningún archivo PDF ni correspondiente a las aplicaciones contenidas en Microsoft Office.
El archivo adjunto posee el malware Cryptowall
A pesar de no tener ningún tipo de formato el cuerpo del correo, el usuario tiene muy complicado identificar que el correo es falso, sobre todo porque los ciberdelincuentes se han adueñado de cuentas de correo legítimas y están haciendo uso de estas para enviar el correo con el contenido malicioso.
En el momento que el usuario ejecuta Remittance.exe, ubicado en eun archivo comprimido, se procederá a la instalación del malware en el equipo del usuario, funcionando únicamente en los sistemas operativos Windows. El malware se encarga de cifrar casi todos los archivos del equipo, solicitando una recompensa si se desea recuperar los archivos que han sido cifrados. Pagar esta recompensa no implica que se recuperen, por lo que resulta mejor restaurar el equipo o bien formatearlo por completo.