Se están utilizando cuentas de correo legítimas de Intuit para distribuir malware entre los clientes y otros usuarios. El malware utilizado es una variante de Cryptolocker conocida con el nombre de Cryptowall.

En el correo se ve como se insta al usuario a comprobar la información de la cuenta antes de que el cargo sea realizado y de comprobar los detalles de las nóminas para verificar que todo se encuentra correcto. Para realizar esto se puede recurrir al archivo adjunto que se encuentra disponible.

Sin embargo, en el archivo adjunto no hay ningún archivo PDF,  ni correspondiente a las aplicaciones contenidas en Microsoft Office.

El archivo adjunto posee el malware Cryptowall

  • A pesar de no tener ningún tipo de formato el cuerpo del correo, el usuario tiene muy complicado identificar que el correo es falso, sobre todo porque los ciberdelincuentes se han adueñado de cuentas de correo legítimas y están haciendo uso de estas para enviar el correo con el contenido malicioso.
  • En el momento que el usuario ejecuta Remittance.exe, ubicado en un archivo comprimido, se procederá a la instalación del malware en el equipo del usuario, funcionando únicamente en los sistemas operativos Windows. El malware se encarga de cifrar casi todos los archivos del equipo, solicitando una recompensa si se desea recuperar los archivos que han sido cifrados. Pagar esta recompensa no implica que se recuperen, por lo que resulta mejor restaurar el equipo o bien formatearlo por completo.

Fuente: Dynamoo´s blog

Anuncios