El pasado lunes, recibimos un correo de un cliente consultando sobre la veracidad de un email que ofrecía información para solicitar un servicio premium muy atractivo. El cuerpo del mensaje incluía detalles importantes sobre el proyecto y adjuntaba un enlace de descarga a través de Dropbox, protegido con una clave de seguridad.
Al hacer clic en el enlace de Dropbox, se descarga automáticamente un archivo .zip en la computadora. Por curiosidad (no recomendamos hacer esto en casa), ingresamos el código de acceso y descubrimos que contenía un archivo malicioso para Windows con la extensión .lnk.
Nota: Los archivos .lnk son accesos directos utilizados en Windows para apuntar a programas, archivos o carpetas. Por sí solos, no contienen código ejecutable, pero pueden llevar a la ejecución de un programa o archivo potencialmente malicioso si se hace clic en ellos en un entorno Windows. Además, este archivo pesa solo 2 KB, lo que lo hace aún más sospechoso.
Con todos los antecedentes mencionados, decidimos investigar al remitente, ya que esto es fundamental para determinar si realmente es alguien de confianza.
Lo primero que hicimos fue verificar el dominio y su antigüedad. Para ello, utilizamos una herramienta de MR DOMAIN (https://www.mrdomain.com/en/whois/) y descubrimos lo siguiente:
- El dominio que envió el correo fue creado el 21/08/24. Claramente con fines de phishing
- El dominio que envió el correo no carga información en la web, tampoco hace forwarding a otro dominio.
En conclusión, el dominio fue creado exclusivamente con fines fraudulentos 5 días antes del mail que recibimos, utilizando correos electrónicos para hacerse pasar por una empresa legítima y llevar a cabo ataques de phishing.
Si cree que podría estar siendo víctima de un posible fraude por correo electrónico, escríbanos a soporte@ifoco.cl y un especialista se pondrá en contacto con usted a la brevedad.
0 comentarios