Hace algunos días, el Laboratorio de ESET Latinoamérica recibió un correo electrónico que simula provenir de una conocida franquicia de comida rápida y en donde se indica que el destinatario habría resultado ganador de un premio por 120 soles peruanos (aproximadamente 40 USD) en consumo durante medio año.

El mensaje contiene la tipografía, el logo, y otros aspectos característicos de este restaurante de comida rápida. Para generar mayor confianza en la potencial víctima, los cibercriminales nuevamente utilizaron un saludo personalizado que incluye la dirección de correo electrónico del destinatario. Asimismo, se le solicita al usuario descargar e imprimir un supuesto vale en “formato Word compatible con todas las versiones de Office”. Si la persona presiona el botón “Vale Premio” o alguno de los tres enlaces maliciosos que aparecen en el mensaje, se procede a la descarga del archivo ejecutable kfc_premio.exe que es detectado por los productos de ESET como Win32/Dorkbot.B. A continuación se muestra una captura del  mensaje fraudulento:

Falso correo que propaga Dorkbot.B

Los hipervínculos marcados en un rectángulo azul corresponden a enlaces maliciosos que dirigen al usuario hacia la descarga de este malware. Por otro lado, es importante destacar que este tipo de campañas de propagación son relativamente fáciles de detectar por parte del destinatario. Por ejemplo, si se lee detenidamente el contenido del texto, inmediatamente aparecen algunos aspectos sospechosos:

  1. El texto resulta contradictorio. En el principio del mensaje se afirma que el premio tiene una duración de medio año, sin embargo, un poco después se asevera que el vale tiene una validez de un año (todo 2013).
  2. En el correo se asegura que el archivo que debe descargar el usuario está en formato Word (DOC o DOCX), no obstante, el fichero al cual dirigen los enlaces son ejecutables, es decir, EXE.
  3. La omisión de algunas tildes en palabras como código, recibirá y está. En este sentido gran cantidad de campañas y ataques de phishing contienen errores gramaticales y de ortografía que pueden permitir detectar que se trata de un correo falso.

Si el usuario es precavido y presta la suficiente atención a los elementos mencionados anteriormente, podría sospechar que se trata de un mensaje fraudulento y no de un premio genuino. Por otro lado, quienes estén infectados con este código malicioso pueden descargar la herramienta gratuita de limpieza automática de Dorkbot para desinfectar sus computadoras. Asimismo, recomendamos consultar la Infografía sobre Dorkbot y cómo logró reclutar más de 80.000 computadoras zombis en Latinoamérica, y otras noticias relacionadas a este malware.

André Goujon
Especialista de Awareness & Research