Malware del día de San Valentín: usuarios son infectados vía email al recibir ofertas de flores y lencería

Malware del día de San Valentín: usuarios son infectados vía email al recibir ofertas de flores y lencería

Al igual que otras festividades, el día de San Valentín es una oportunidad ideal para que los actores de amenazas desplieguen ambiciosos ciberataques. En esta ocasión, expertos reportan que un grupo de hacking está enviando correos electrónicos con información sobre supuestos pedidos a tiendas de flores y lencería; en realidad estos mensajes incluyen enlaces o archivos adjuntos para la descarga del malware BazaLoader.

Esta variante de malware fue identificada en abril de 2020 y desde entonces han sido detectadas al menos seis variantes, lo que indica que los desarrolladores dedican considerables recursos para su mantenimiento.

El reporte, elaborado por la firma de seguridad Proofpoint, menciona que desde inicios de 2021 se detectaron diversas campañas de phishing empleando documentos PDF infectados con BazaLoader: “Los hackers recurren a múltiples temáticas para llamar la atención de los usuarios, incluyendo la venta de suministros de oficina, medicamentos y suplementos alimenticios, aunque el tema más cercano es el festejo de San Valentín.”

En un caso analizado por esta firma, la víctima recibió un email supuestamente proveniente de una tienda de lencería llamada Ajour Lingerie, con sede en Nueva York en el que se mencionaba que su pedido había sido completado, por lo que se requería de la verificación de una factura, adjunta en formato PDF. Si bien el archivo adjunto no contiene malware, su inclusión es un elemento fundamental para completar el ataque.

Este PDF contiene un enlace a un sitio web fraudulento (ajourlingerie<.>net) simulando ser el sitio oficial de Ajour Lingerie (ajour.com). El sitio web fraudulento es una copia idéntica de la plataforma legítima, por lo que no es extraño pensar que un usuario puede ser engañado. La plataforma fraudulenta incluye una sección de “contacto” que, de ser visitada por las víctimas, abre una ventana para ingresar los datos de la falsa factura, lo que a su vez descarará una hoja de cálculo. Si los usuarios activan las macros de este archivo, iniciará la descarga de BazaLoader. Este método de ataque se replica usando la imagen y sitios fraudulentos de compañías dedicadas al envío de flores.

Los investigadores siguen tratando de determinar cuál es la variante de malware descargada por BazaLoader, aunque ya han detectado una gran similitud entre este software malicioso y otros como TrickBot.

Esta es una muestra de la facilidad con la que los hackers pueden desplegar una campaña maliciosa abusando de los días festivos. El año pasado un grupo de investigadores reportó que múltiples usuarios de iPhone recibieron mensajes fraudulentos que trataban de convencerlos para descargar una app de citas cargada de malware para el robo de información, entre muchas otras características maliciosas.