Nueva campaña de robo de credenciales usa cuenta de email de la Universidad Autónoma de Barcelona
A la hora de preparar sus campañas de propagación de correos maliciosos, los delincuentes utilizan muchos tipos de ganchos diferentes, normalmente asociados a empresas de reconocido prestigio, entidades bancarias u organismos gubernamentales. Sin embargo, en los últimos años hemos visto como también se han usado otros ganchos menos habituales que tienen relación incluso con instituciones educativas y, aunque no sea algo habitual, es muy probable que los delincuentes consigan víctimas igualmente.
Solicitud de oferta de la Universitat Autónoma de Barcelona
Entre las temáticas y suplantaciones de identidad usadas por los ciberdelincuentes no suelen aparecer frecuentemente las relacionadas con las universidades, aunque en los últimos años hemos visto algunos ejemplos suplantando a la Universidad de Valencia o a la Universidad Complutense de Madrid. En el caso que analizamos hoy observamos que los delincuentes utilizan un email donde se hacen pasar por la Universitat Autónoma de Barcelona usando un correo con dominio de esa entidad.
Si leemos el mensaje, observaremos que se trata de una supuesta oferta comercial en la que se solicita un presupuesto para la universidad, pero sin especificar qué tipo de presupuesto ni qué proyecto se está gestionando. Esta información tan vaga puede hacer que los usuarios que reciban este mensaje procedan a abrir el fichero adjunto por curiosidad, o buscando más información acerca de esta propuesta.
Lo primero que solemos revisar en estos casos es la procedencia del correo, ya que resulta sencillo modificar el remitente para hacer creer al destinatario que se trata de un organismo o empresa de confianza. El mejor método para asegurarse de que estamos ante un remitente real o uno fraudulento pasa por revisar las cabeceras del correo, lo que, en este caso en concreto, certifica que el email se ha enviado usando una cuenta real asociada a la universidad.
Esto, por desgracia, no es nada extraño y tampoco significa que la seguridad de la red o los sistemas de esta universidad se hayan visto comprometidos. Lamentablemente, viendo la intensa actividad que tienen amenazas como los infostealers, es bastante normal que se comprometan cuentas de correo de empleados y luego se utilicen para realizar campañas masivas de propagación de amenazas, tal y como sucede en esta ocasión.
Formbook, un viejo conocido especializado en el robo de credenciales
En este tipo de campañas se suelen adjuntar enlaces o, como en esta ocasión, ficheros que son los responsables de iniciar la cadena de infección preparada por los delincuentes. Una técnica habitual consiste en comprimir el fichero malicioso para tratar de dificultar su detección por parte del usuario, aunque esto no impide que sea detectado como una amenaza por una solución de seguridad efectiva.
Esto, por desgracia, no es nada extraño y tampoco significa que la seguridad de la red o los sistemas de esta universidad se hayan visto comprometidos. Lamentablemente, viendo la intensa actividad que tienen amenazas como los infostealers, es bastante normal que se comprometan cuentas de correo de empleados y luego se utilicen para realizar campañas masivas de propagación de amenazas, tal y como sucede en esta ocasión.
Formbook, un viejo conocido especializado en el robo de credenciales
En este tipo de campañas se suelen adjuntar enlaces o, como en esta ocasión, ficheros que son los responsables de iniciar la cadena de infección preparada por los delincuentes. Una técnica habitual consiste en comprimir el fichero malicioso para tratar de dificultar su detección por parte del usuario, aunque esto no impide que sea detectado como una amenaza por una solución de seguridad efectiva.
Es muy probable que las credenciales de la cuenta de correo del empleado de la Universitat Autónoma de Barcelona que se está utilizando para propagar este mensaje se vieran comprometidas por una campaña anterior de este mismo infostealer, y qu ahora los delincuentes aprovechen que se trata de una entidad de reconocido prestigio para, usando la cuenta robada, tratar de conseguir nuevas víctimas.
Conclusión
La suplantación de identidad de universidades españolas para propagar ciberamenazas no nos resulta ajena, aunque tampoco es algo habitual. Este caso demuestra que los delincuentes pueden aprovechar casi cualquier tipo de cebo para conseguir nuevas víctimas, por lo que debemos estar alerta para identificar mensajes similares y contar con una efectiva solución de seguridad que pueda identificar estos correos maliciosos antes de que lleguen a nuestra bandeja de entrada.
Powered by WPeMatico