Detectado un nuevo correo spam con asunto “RBS RE: Incident IM03393549”

Escrito por Adrián Crespo
Seguridad
0

Continúa siendo la temporada estival y eso es sinónimo de campañas de correos spam con la intención de engañar al usuario. A pesar de no ser la primera vez, los ciberdelincuentes han decidido que la imagen de la entidad bancaria RBS vuelva a ser utilizada en una campaña de correos spam, haciendo creer al usuario que ha existido un problema con alguna operación que se ha efectuado sobre alguna cuenta.

En el cuerpo del mensaje se puede ver como se habla al usuario sobre un incidente en una cuenta que aún no está resuelto y que ha influido negativamente en la realización de pago, provocando que este no se haya realizado. Al usuario se le indica una referencia con la que se identifica ese problema y se insta al usuario a observar el archivo adjunto en el que a priori existen más detalles sobre las causas que han provocado la parición del problema.

Para finalizar con el cuerpo del mensaje se adjunta una firma en el que se puede leer cierta información referente a la entidad y a la persona de contacto.

rbs spam con virus como adjunto

El archivo adjunto del correo spam de RBS contiene un virus

El usuario se encuentra con un archivo comprimido con el nombre de IM03393549.zip. Dentro de este se encuentra otro archivo que tiene el nombre de IM008082014.scr. Lo que se hace creer al usuario es que en dicho documento adjunto se encuentra la información relacionada con el problema, esperando encontrar un fichero PDF o uno correspondiente por ejemplo a Microsoft Word. Sin embargo, esto no es así y el archivo es un ejecutable que al ser abierto. GData la denomina como Trojan.Downloader.JQYP y tal y como ya suele ser habitual, el malware intenta conectarse a unas direcciones después de haber sido ejecutado:

  • 94.23.247.202/n0808uk/SANDBOXA/0/51-SP2/0/
  • 94.23.247.202/n0808uk/SANDBOXA/1/0/0/
  • quesoslaespecialdechia.com/Scripts/n0808uk.zip
  • energysavingproductsinfo.com/wp-app/uploads/2014/08/n0808uk.zip

Aunque apenas se conocen muchos detalles sobre él hasta este momento, todo parece indicar que se trata de alguna variante de Cryptowall, ya que en los equipos infectados no se puede acceder a los archivos. La ejecución del archivo adjunto no supone el cifrado de estos, por lo tanto, resulta evidente que conectando a esas direcciones se realiza la descarga de las instrucciones y de nuevas amenazas malware.

Fuente | Dynamoo´s blog