Hemos recibido en nuestro laboratorio un correo electrónico en el cual se alega la existencia de un supuesto video donde la policía de Gran Bretaña ingresa a la embajada de Ecuador con la finalidad de capturar a Julian Assange. Asimismo, el correo implanta un remitente falso indicando que el mismo, supuestamente, proviene de un importante diario de Ecuador.

El correo electrónico informa la existencia de un supuesto video donde se observarían imágenes de un operativo jamás visto por parte de la policía de Gran Bretaña ingresando a la embajada de Ecuador en el país anglosajón. Continuando con el engaño, al final del correo se provee un enlace hacia el supuesto video pero, en realidad, se inicia la descarga de un archivo ejecutable que es detectado por ESET NOD32 Antivirus como Dorkbot. Este código malicioso corresponde a una botnet que tiene una fuerte presencia en Latinoamérica. El impacto de este malware en la región es muy alto y puede reflejarse en nuestro post titulado Infografía dorkbot: más de 80.000 bots en Latinoamérica. A continuación se observa una captura del correo recibido:

Correo falso

Realizando un análisis más profundo de la muestra se pudo comprobar que descarga un archivo con un listado de diferentes URLs correspondientes a distintos bancos. La finalidad de esto es redireccionar a la víctima que se ha infectado a sitios de phishing para así poder robar sus datos bancarios. El listado antes mencionado contiene diferentes bancos de gran relevancia pertenecientes a Ecuador, Colombia y Chile. A continuación se adjunta una captura que permite comprobar como la víctima es redirigida a un sitio que no es el verdadero:

phishing banco

Es importante que los usuarios tengan conciencia sobre la utilización de Ingeniería Social con temas sumamente actuales. Estas actividades convergen en el aumento de las probabilidades de infección debido al fuerte interés que genera en la potencial víctima. Es por esto que recomendamos a nuestros usuarios la lectura de nuestra guía para identificar correos falsos así como también nuestro post sobre ataques y realidades del phishing.

Fernando Catoira
Analista de Seguridad