A pesar de estar acostumbrados a analizar periódicamente campañas protagonizadas por malware como Agent Tesla o Formbook, siempre revisamos las nuevas muestras que detectamos por si hay novedades tanto en los métodos de propagación como en las técnicas utilizadas por los delincuentes.
En esta ocasión, nos ha extrañado que el mensaje estuviese redactado en inglés y fuese enviado supuestamente desde una dirección de email turca, puesto que en varias de las últimas campañas analizadas los delincuentes se molestaban en enviar los correos desde direcciones de correos comprometidas de empresas españolas y redactaban los mensajes en castellano.
Aun a pesar de lo comentado en el párrafo anterior, el asunto del mensaje, el hecho de que no pocas empresas tengan relaciones comerciales internacionales con países como Turquía o, simplemente, la curiosidad del empleado que reciba este correo electrónico hacen que sea perfectamente posible que quien recibe el mensaje pulse sobre la imagen de la supuesta orden de compra, lo que iniciaría el proceso preparado para la descarga del malware.
La técnica de adjuntar una imagen al cuerpo del mensaje haciéndola pasar por un fichero PDF adjunto es algo que ya hemos visto en numerosas ocasiones anteriormente y, sin embargo, sigue utilizándose. Esto es un claro indicador de que a los delincuentes les sigue funcionando para conseguir nuevas víctimas, por lo que no esperamos que dejen de usarla a corto plazo.