ESET ha alertado sobre una campaña de ciberataques que, mediante el uso del correo electrónico, ha estado enviando a organizaciones españolas y portuguesas de falsos presupuestos para la realización de servicios y que en realidad se trataban de archivos infectados. Los correos analizados suplantan al remitente mediante técnicas de spoofing (suplantación) “aunque no se descarta que en algunos casos se haya conseguido tomar el control de los servidores de correo de las empresas remitentes”, advierten desde ESET.
Se han estado enviando a organizaciones españolas y portuguesas falsos presupuestos
Uno de los aspectos importantes de esta nueva campaña es que los correos están escritos en perfecto castellano y parecen provenir de empresas legítimas e, incluso, conocidas, con el objetivo de hacer más creíble la solicitud. Al tratarse de correos remitidos desde empresas reales, muchos usuarios interpretan que se trata de correos legítimos y bajan la guardia, descargando el fichero adjunto en formato .xls, .rtf o .doc. El fichero malicioso adjunto tiene una peculiaridad con respecto a otros casos anteriores, ya que Office no permite la ejecución automática de código incrustado en los documentos, algo que permitiría que el malware se activase solo con abrir un Word, por ejemplo. Es el usuario el que debe activar manualmente la opción para poder ver ese código y, por eso, los delincuentes incrustan mensajes que les invitan a hacerlo. Por ese motivo el documento malicioso intenta aprovechar la vulnerabilidad CVE-2017-11882 en Microsoft Office para comenzar su actividad maliciosa.
“Aun en pleno 2018 sigue existiendo la creencia entre muchos usuarios de que los ficheros Word o Excel no representan un peligro para sus sistemas, a pesar de haber sido utilizados en todo tipo de ataques desde hace más de 20 años”, afirma Josep Albors, responsable de investigación en ESET España.
Los usuarios de soluciones de seguridad ESET están protegidos frente a esta primera fase del ataque gracias a la detección del exploit que intenta utilizar el documento malicioso, detección que recibe el nombre de Win32/Exploit.CVE-2017-11882, aunque desde la compañía recuerdan que para evitar caer en este tipo de amenazas, es necesario mantener actualizado el sistema operativo y las aplicaciones, disponer de soluciones de seguridad, como ESET Smart Security, que sean capaces de detectar amenazas y desconfiar de correos electrónicos no solicitados aunque provengan de remitentes de confianza.
