El siguiente es un correo que simula ser enviado por UPS con una técnica denominada e-mail spoofing (suplantación de una dirección de correo electrónico). Seguramente puedas identificarlo fácilmente como falso, pero te aseguro que hay muchos usuarios que se lanzan como kamikazes para abrir esta clase de adjuntos:
El mensaje solicita completar un formulario adjunto con una dirección postal, ya que un supuesto paquete no se pudo entregar. Este adjunto en realidad es algún tipo de malware que busca infectar el equipo.
Más allá de que Hotmail lo clasifique como spam, hay que destacar que todos los enlaces apuntan hacia el sitio legítimo de UPS (ups.com) y el diseño es bastante convincente. Con estos detalles en mente un usuario podría sentirse confiado para descargar el archivo adjunto y abrirlo, incluso si no esperaba ningún envío de la empresa. Es ingeniería social de la más simple.
Lo bueno en este caso es que al intentar descargarlo el antivirus del webmail lo detecta y lo bloquea, pero si esto no sucediera y el antivirus residente tampoco advirtiera el peligro, la computadora se infectaría:
En la gran mayoría de los casos estos supuestos formularios son troyanos o documentos manipulados que al ser abiertos buscan vulnerabilidades en segundo plano para descargar malware de forma oculta.
El siguiente es otro ejemplo similar al anterior que permitió realizar la descarga del archivo:
Dentro del archivo comprimido .zip hay un troyano Invoice_N8838293984.exe (VT 23/42) que simula ser un documento de Word y podría engañar fácilmente a todos aquellos que no tengan habilitada la visualización de extensiones:
Tamibén hay otras variantes de estos correos falsos, algunos solicitan información personal para luego enviar más spam o el pago por adelantado de algún impuesto para recibir un paquete de gran valor. En cualquier caso, con sentido común y precaución se pueden evitar estos engaños… no hay que dejarse llevar por las apariencias y ante la duda lo mejor es buscar información o consultar.
Apenas acaba de recibir un correo bien parecido, las direcciones me daban una IP rara pero el sitio era falso, igual te daban un archivo a descargar, yo solo lo borré, ni lo descargué. Así que estar bien informados esa es la clave.
Similar campaigns are also sending executables directly. Here are a few recent samples with UPS in the file name:
45992c5b7fb455a0e15466a1e8a8c0f0 UPS_Letter_N878324.exe 100864 2012-06-20 07:05:02
675317f84a49a91a13b428237ee2b93e UPS_Package_N7732.exe 94208 2012-06-19 05:44:24
3eda16137511298b4b6b94c133b1a52c UPS_N8388235.exe 138240 2012-06-14 23:21:24
b1551c676a54e9127cd0e7ea283b92cc UPS Delivery Confi…rmation Alert Apr2012.exe 152576 2012-04-11 18:56:38
Connection (Remote IP: 123.49.61.59)
Connection (Remote IP: 91.121.103.143)
Connection (Remote IP: 85.214.204.32)
Example Traffic:
method: POST
url: /zb/v_01_a/.upd/u2006a.exe
version: HTTP/1.1
Accept: */*
User-Agent: Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)
Host: 91.121.103.143:8080
Content-Length: 0
Connection: Keep-Alive
Cache-Control: no-cache
Is a very loud dropper.