Tal y como venimos observando desde hace tiempo, el correo electrónico sigue siendo el vector de ataque preferido por los delincuentes responsables de este tipo de amenazas. Todo aquello relacionado con pagos, facturas y presupuestos sirve como gancho para llamar la atención de los usuarios que reciben este tipo de emails, especialmente aquellos que trabajen en los departamentos de administración de las empresas.
En esta ocasión, los delincuentes han usado una plantilla genérica en español que no suplanta la identidad de ningún banco o gran empresa ni utiliza la imagen corporativa de una compañía que ha sido previamente comprometida. Sin embargo, el asunto y cuerpo del mensaje, reclamando un pago devuelto, el uso de un fichero Word como adjunto e incluso el aviso en el pie del mensaje indicando que ha sido revisado y que se encuentra libre de virus son aspectos preparados por los delincuentes para transmitir, primero, una sensación de urgencia y, segundo, de confianza al tratarse, aparentemente, de un mensaje inofensivo.
No obstante, este mensaje de inofensivo tiene poco, ya que al abrirlo tratará de explotar una vieja vulnerabilidad de Microsoft Office sobradamente conocida y parcheada desde hace casi 6 años pero que, aun a día de hoy consigue infectar sistemas que los usuarios no se han preocupado de actualizar.
El documento solo muestra caracteres que, a ojos de un usuario, parecen no tener ningún tipo de sentido. Sin embargo, mientras la víctima está pensando que documento tan extraño le han enviado o si este se encuentra corrupto, la cadena de infección ha comenzado y contacta con un servidor externo para descargar el ejecutable que compone la segunda fase del ataque.
