Comprovante 5819 enviado desde Brasil (spam y troyano)

El siguiente es un correo falso que simula incluir un adjunto en PDF, supuestamente se trata de un «comprobante de pago»:

El adjunto en realidad no es un archivo adjunto, sólo es un enlace en el cuerpo del mensaje Comprovante_5819.pdf. Al pasarle el puntero -sin hacer clic- se puede ver su destino, en este caso un sitio infectado que inicia la descarga de un troyano.

Detectar el engaño puede ser algo sencillo para muchos, pero el hecho de que el supuesto documento sea un enlace puede pasar desapercibido y además el texto al final (Ver.asp?EntregadeDocumento=ClienteFinal-Comprovante) juega su papel al engañar, da la sensación de que se está entregando algo «importante».

Ahora bien, si el enlace no levanta sospechas, el archivo ejecutable .exe debería de hacerlo… esto es lo que se descarga al hacer clic: Comprovante_5819.pdf.exe

(Virus Total 8/42)

Notar la doble extensión, es un .exe (archivo ejecutable) pero aunque fuera realmente un .pdf tampoco se debería de abrir en este contexto (correo y documento no solicitados), pues los PDF son muy utilizados para camuflar códigos maliciosos e infectar.

Sentido común…

Un comprobante relacionado con un depósito en una cuenta corriente es una tentación, sobre todo cuando el mensaje está escrito en portugués. Aunque no estén esperando ningún depósito ni tengan cuenta corriente, muchas personas seguramente lo descarguen e intenten abrirlo una y otra vez sin tener idea de que en realidad están infectando sus máquinas.

Gracias Jorge por el envío.

Ver también:
WikiLeaks.pdf, que no te gane la curiosidad.
Spam con avisos falsos de mensajes directos en Twitter.