El envío de correos spam es algo que se encuentra a la orden del día y lamentablemente hoy tenemos que volver a hacer mención a este problema al que se enfrentan los usuarios. En esta ocasión es Amazon la que ve como su imagen es utilizada para enviar un correo informando al usuario sobre un envío inexistente. Podéis visitar nuestro tutorial sobre asuntos de emails para evitar.
La popularidad de Amazon y el aumento de las compras que se producen en esta tienda en línea ha aumentado de forma considerable durante estos dos últimos años, y ya es sabido que los ciberdelincuentes siempre acuden donde más daño se puede hacer, y en este caso saben que recurriendo a Amazon tienen cierto porcentaje de éxito garantizado.
En el asunto del mensaje aparece «Shipping Confirmation #Order XXXXXX» donde las «X» pertenecen a un número aleatorio que es introducido. El correo parece que es enviado desde «Amazon.com», sin embargo, esto se trata de un alias ya que la dirección original no pertenece a la tienda en línea.
Dentro del cuerpo del mensaje, tal y como se puede ver a continuación, aparecen una gran cantidad de detalles que hacen creer al usuario que se trata de un auténtico mensaje de la compañía, sin embargo, la verdad es muy distinta tal y como nos podemos imaginar.
Un virus como archivo adjunto
Aunque parezca que todo puede terminar en un mensaje falso enviado e nombre de la compañía, esto no es así, al usuario se le invita a descargar el comprobante que se encuentra como archivo adjunto. Se indica al usuario que este puede ser consultado recurriendo a un lector de documentos PDF. Siempre puedes generar correos que caduquen y evitar problemas.
Sin embargo, el archivo adjunto que se encuentra no está en formado PDF sino que se trata de un ejecutable .exe que contiene un virus que se instala en el equipo del usuario.
Una vez que se ha instalado este virus es capaz de crear procesos en el sistema simulando otros ya existentes, como es el svhost.exe o csrss.exe. Una vez que estos procesos en segundo plano son ejecutados tratan de establecer una comunicación con varias IPs cuya localización es Rusia. Estas direcciones IP son 91.226.212.32 y 193.203.48.3 recomendando bloquear estas direcciones para evitar que se pueda enviar posible información contenida en el equipo.