En un email que hemos detectado durante esta semana los delincuentes tratan de utilizar de nuevo el asunto de una factura pendiente de pago para tratar de engañar a sus víctimas. Sin embargo, y a diferencia de otras campañas anteriores, en esta ocasión no se han esmerado demasiado en hacer que el correo resulte demasiado convincente.
Tras revisar el correo vemos como el remitente utiliza una cuenta de email brasileña, lo que ya nos debería hacer sospechar. Pero es que además del asunto y de un escueto cuerpo del mensaje en el que solo se nos indica una cantidad pendiente de cobro, tan solo vemos un enlace para descargar la supuesta factura. Si nos fijamos en este enlace en lugar de pulsarlo, observaremos que apunta a un servicio acortador de enlaces para no revelar a dónde quieren redirigirnos.
En caso de pulsar sobre este enlace, la víctima es redirigida a una URL que se corresponde con el servicio Azure de Microsoft, usado por los delincuentes para alojar el fichero malicioso que compone la primera fase de este ataque y que se descargará en el sistema esperando su ejecución.
Al descargar el fichero comprobaremos que está comprimido en formato ZIP, muy probablemente para tratar de resultar menos sospechoso a primera vista. Sin embargo, al revisar su contenido veremos como dentro de ese archivo comprimido se esconde un fichero en el formato ejecutable MSI.
