Detectan un troyano bancario en un supuesto correo de Movistar

La suplantación de empresas conocidas, como entidades bancarias, tiendas online o incluso agencias estatales, en las campañas de spam está a la orden del día. En este caso, la compañía suplantada ha sido Movistar, una operadora con millones de usuarios, los cuales pueden convertirse en víctimas potenciales de un troyano que se está propagando a través de correos electrónicos con una supuesta factura de Movistar.

Descubierto por investigadores de ESET, el correo está escrito en un correcto castellano, lo que indica que los autores de la campaña la han orientado a usuarios de habla hispana. El uso del logotipo de Movistar, la inserción de un enlace que redirige al apartado de clientes de la web de esa empresa y los datos de contacto van dirigidos a generar una mayor confianza, para que el usuario se piense que está ante un correo legítimo. Además, la dirección de correo del remitente parece estar asociada a un email legítimo perteneciente a la compañía, y eso hace que pocos usuarios se planteen la posibilidad de pensar que están ante un correo falso. Sin embargo, al revisar la cabecera del correo se ve que ni el ID del mensaje ni la ruta de retorno del mismo tienen nada que ver con Movistar, lo que confirma que la operadora no tiene relación alguna con el envío de estos mensajes, y que sus sistemas tampoco se han visto comprometidos, como algunos usuarios han llegado a apuntar.

La finalidad de este correo es conseguir que el usuario ejecute el fichero adjunto, que se hace pasar por un archivo PDF, cuando en realidad se trata de un archivo ejecutable que infecta el sistema con un troyano bancario de la familia Zbot, capaz de robar credenciales de acceso a banca online, contraseñas, números de tarjeta de crédito y códigos PIN. Las soluciones de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.ACF.