No se trata de una técnica desconocida ya que en ocasiones anteriores hemos hablado de casos similares en los que Whatsapp era el cebo. En esta ocasión el usuario recibe un mensaje de correo en el que se le informa de la existencia de un mensaje de voz. Evidentemente ya se puede ver la finalidad de esto: descargar un archivo que es la supuesta nota de voz y que en realidad es un malware que se instalará en el equipo.
Sin embargo, el usuario se va a encontrar con otro gran problema. Y es que todo parece indicar que el correo es enviado por los ciberdelincuentes utilizando cuentas de correo de usuarios o de empresas que han sido robadas, suponiendo un añadido para el usuario a la hora de identificar si el correo es falso o no. En esta ocasión fijarse en el dirección de correo electrónico no es suficiente para determinar la veracidad de este. A pesar de todo, los usuarios cuentan con la ventaja de saber que en el correo se hace mención a un mensaje de voz que se encuentra almacenado en una carpeta de Dropbox. El tamaño correspondiente a este archivo de voz es de 29 KB según el cuerpo del correo. Sin embargo, si realizamos la descarga de este el tamaño real supera los 3 MB. En muchas ocasiones nos topamos con correos falsos.
Además de esto, hay que añadir que resulta un tanto extraño que te inviten a escuchar una nota de voz o un mensaje de voz almacenado en Dropbox. ¿De qué servicio proviene este nota de voz? ¿Por qué no se escucha desde el propio servicio (por ejemplo Skype o Whatsapp)?
VOICE-864169741-28641.zip contiene un virus
Para descargar la supuesta nota de voz al usuario se le proporciona un enlace a un archivo de Dropbox. Al introducir el enlace comienza la descarga del archivo. Una vez que lo hemos descargado comprobamos que se trata de un archivo comprimido. Si accedemos a los archivos comprimidos en él vemos que contiene un único archivo .src, más concretamente VOICE-864169741-28641.scr. Descubre cómo configurar Gmail con el dominio de tu web.
Como es de suponer este archivo es un virus y en esta ocasión se ha utilizado Win32/Kryptik.CDXX, una variante de Cryptowall que a su vez es variante de Cryptolocker. La finalidad de este malware resulta más que conocida: cifrar los archivos que se encuentran en el equipo infectado y pedir una recompensa para su posterior descifrado.
La mayoría de los antivirus son capaces de detectar la presencia de este malware, por lo tanto, solo es necesario disponer de una herramienta de seguridad actualizada y dejar que esta haga su trabajo, evitando que el malware llegue a instalarse.