Varios actores de amenazas continúan aprovechándose de la pandemia de coronavirus en curso a través de estafas de phishing y otras campañas de distribución de malware.

En este blog, analizamos 3 olas de phishing diferentes dirigidas a solicitantes de préstamos de ayuda Covid-19. Los correos electrónicos de phishing se hacen pasar por la Administración de Pequeñas Empresas de EE. UU. (SBA) y tienen como objetivo entregar malware, robar credenciales de usuario o cometer fraude financiero.

En cada una de estas campañas, los delincuentes falsifican el correo electrónico del remitente para que se parezca al de la SBA oficial. Esta técnica es muy común y, desafortunadamente, a menudo se malinterpreta, lo que resulta en muchas estafas exitosas.

Malware GuLoader

En abril, vimos la primera ola de ataques de la SBA utilizando COVID-19 como señuelo para distribuir malware. Los correos electrónicos contenían archivos adjuntos con nombres como ‘SBA_Disaster_Application_Confirmation_Documents_COVID_Relief.img’.

Estafa de phishing de la SBA de EE. UU.
Figura 1: Correo electrónico no deseado que contiene archivos adjuntos maliciosos

El malware era el popular GuLoader , un descargador sigiloso utilizado por los delincuentes para cargar la carga útil de su elección y evitar la detección de antivirus.

Intento de phishing tradicional

La segunda ola que vimos involucró un enfoque de phishing más tradicional donde el objetivo era recopilar credenciales de las víctimas para estafarlas más adelante.

estafa tradicional de la SBA de EE. UU.
Figura 2: Correo electrónico de phishing que atrae a los usuarios a un sitio para ingresar sus credenciales

Una URL, especialmente si no tiene nada que ver con el remitente, es un gran indicio de que el correo electrónico puede ser fraudulento. Pero las cosas se complican un poco más cuando los atacantes utilizan archivos adjuntos que parecen legítimos.

Intento de phishing avanzado

Esto es lo que vimos en un esquema bastante inteligente y atrevido que engaña a las personas para que completen un formulario completo que contiene información muy personal, incluidos los detalles de la cuenta bancaria. Estos podrían usarse para drenar cuentas directamente o en una capa adicional de ingeniería social, que engaña a los usuarios para que paguen tarifas avanzadas que no existen como parte del programa real de la SBA.

Intento avanzado de phishing de la SBA de EE. UU.
Figura 3: Correo electrónico de phishing que contiene un formulario de solicitud de préstamo

Esta última campaña comenzó a principios de agosto y es lo suficientemente convincente como para engañar incluso a los expertos en seguridad más experimentados. Aquí hay un vistazo más de cerca a algunas de las banderas rojas que encontramos mientras lo analizamos.

La mayoría de las personas no son conscientes de la falsificación de correos electrónicos y creen que si el correo electrónico del remitente coincide con el de una organización legítima, debe ser real. Desafortunadamente, ese no es el caso, y hay verificaciones adicionales que deben realizarse para confirmar la autenticidad de un remitente.

Existen varias tecnologías para confirmar la verdadera dirección de correo electrónico del remitente, pero en cambio nos centraremos en los encabezados de los correos electrónicos, una especie de plano que está disponible para cualquier persona. Dependiendo del cliente de correo electrónico, existen diferentes formas de ver dichos encabezados. En Outlook, puede hacer clic en Archivo y luego en Propiedades para mostrarlos:

encabezados de correo electrónico de Outlook para evitar estafas
Figura 4: Encabezados de correo electrónico que muestran remitente sospechoso

Uno de los elementos a tener en cuenta es el campo «Recibido». En este caso, muestra un nombre de host (park-mx.above [.] Com) que parece sospechoso. De hecho, podemos ver que ya se ha mencionado en otra campaña de estafa .

Si volvemos a este correo electrónico, vemos que contiene un archivo adjunto, una solicitud de préstamo con el número de referencia 3245-0406. Una mirada a los metadatos PDF a veces puede revelar información interesante.

Metadatos de pdf de estafa de SBA
Figura 5: Formulario de solicitud de carga sospechosa y sus metadatos

Aquí notamos que el archivo se creó el 31 de julio con Skia, una biblioteca de gráficos para Chrome. Esto nos dice que los estafadores crearon ese formulario poco antes de enviar los correos electrónicos no deseados.

A modo de comparación, si miramos la aplicación descargada del sitio web oficial de la SBA, vemos algunos metadatos diferentes:

metadatos pdf oficiales de la SBA
Figura 6: Formulario oficial de solicitud de préstamo y sus metadatos

Este formulario de solicitud legítimo se creó con Acrobat PDFMaker for Word el 27 de marzo, que coincide con el cronograma de la pandemia.

Por lo general, la solicitud de préstamo se imprime y luego se envía por correo a una dirección física en una de las oficinas gubernamentales. Si volvemos al correo electrónico original, solicita enviar el formulario completo como respuesta por correo electrónico en su lugar:

malwarebytes correo electrónico falso de estafa sba
Figura 7: El correo electrónico de respuesta enviaría un formulario de solicitud de préstamo a los delincuentes

Aquí es donde las cosas se ponen interesantes. Aunque el correo electrónico del remitente es disastercustomerservice@sba.gov, cuando presiona el botón de respuesta, muestra una dirección de correo electrónico diferente en: disastercustomerservice @ gov-sba [.] Us . Si bien sba.gov es el sitio web oficial y legítimo del gobierno, gov-sba [.] Us no lo es.

correo electrónico falsificado de correo electrónico de phishing sba
Figura 8: Dominio registrado por estafadores poco antes del ataque

Ese nombre de dominio (gov-sba [.] Us) se registró pocos días antes de que comenzara la campaña de correo electrónico y claramente no pertenece al gobierno de EE.

Sin embargo, debemos tener en cuenta que esta campaña es bastante elaborada y que sería fácil caer en la trampa. Lamentablemente, lo último que desearía al solicitar un préstamo es quedarse sin más dinero.

Si responde a este correo electrónico con el formulario completo que contiene información privada que incluye los detalles de su cuenta bancaria, esto es exactamente lo que sucedería.

Consejos sobre cómo protegerse

No hay duda de que las personas deben ser extremadamente cautelosas cuando se les pida que completen información en línea, especialmente en un correo electrónico. Los estafadores acechan en cada esquina y están listos para aprovechar la próxima oportunidad.

Tanto el Departamento de Justicia como la Administración de Pequeñas Empresas han estado advirtiendo sobre estafas relacionadas con los préstamos de la SBA. Sus respectivos sitios proporcionan varios consejos sobre cómo evitar varios esquemas maliciosos.

Quizás lo más importante, especialmente cuando se trata de correos electrónicos de phishing, es que la dirección del remitente puede falsificarse fácilmente y de ninguna manera es una garantía sólida de legitimidad, incluso si se ve exactamente igual.

Debido a que no podemos esperar que todos busquen los encabezados y metadatos de los correos electrónicos, al menos podemos sugerir que verifiquemos la legitimidad de cualquier comunicación con un amigo o llamando a la organización gubernamental. Para esto último, siempre recomendamos no marcar nunca el número que se encuentra en un correo electrónico o que se deja en un buzón de voz, ya que podría ser falso. Busque en Google la organización su número de contacto correcto.

Malwarebytes también protege contra ataques de phishing y malware al bloquear la infraestructura ofensiva utilizada por los estafadores.