La compañía de ciberseguridad SophosLab ha hecho pública la existencia de una campaña de correos electrónicos no deseados que se aprovecha de la popularidad del icono adolescente Greta Thunberg para propagar malware.
Los correos vinculados a esta campaña, que lleva activa desde el comienzo del período navideño, tienen asuntos como "Por favor, ayuda a salvar el planeta", "Greta", "La mayor manifestación" o "Apoya a Greta Thunberg - Persona del año 2019 según TIME" (en inglés en el original).
Emotet, un lobo con piel de cordero
El cuerpo de dichos e-mails anima al usuario a sumarse a una inminente manifestación... cuya hora y lugar no aparecen en el texto, sino en un documento de Word que en unos casos está adjunto al correo, y en otros casos enlazado desde el mismo.
La traducción del contenido de dichos correos es la siguiente:
"FELIZ NAVIDAD
Puedes pasar la Nochebuena buscando regalos para los niños y te lo agradecerán sólo ese día.
En cambio, los niños te agradecerán toda su vida que te unas a la mayor manifestación en protesta contra la inacción gubernamental hacia la crisis climática.
Apoya a Greta Thunberg - Persona del Año 2019 según la revista Time.
Te invito a participar. La hora y la dirección los encontrarás en el archivo adjunto.
ENVÍA esta carta a todos tus colegas, amigos y familiares."
Afortunadamente, aquellos correos que se limitan a enlazar el archivo de texto no usan URL's que estén actualmente operativas, por lo que no ocurre nada cuando los usuarios hacen clic en las mismas. "Lo malo", explican desde SophosLab, "es que no podemos estar seguros de qué clase de malware han intentado difundir o de cuál podrá aparecer en el futuro en esos enlaces".
En el caso de los emails que incluían el archivo adjunto, el malware usado es Emotet, que antaño fue un troyano usado para robar credenciales bancarias y actualmente es un sofisticado software usado como vía de entrada para otros programas maliciosos (desde otros troyanos bancarios como QBot hasta ransomware como BitPaymer).
Una vez se abre este documento, los usuarios verán el siguiente mensaje de advertencia de aspecto legítimo (aunque en inglés, lo que puede hacer sospechar a los usuarios hispanohablantes):
Dicho mensaje, una mera imagen insertada en el documento, anima al usuario a cambiar la configuración de seguridad por defecto de Word con el fin de que éste deje de bloquear la ejecución de macros maliciosos. Si este llegara ejecutarse, se conectaría a Internet e instalaría Emotet en el equipo.
Vía | SophosLab
Imagen | Tibor Janosi Mozes (Pixabay)
