• Tweet

Investigadores de seguridad advierten de una campaña de distribución del troyano SpyEye, la cual genera notificaciones que pretenden ser de un servicio de entrega de paquetería.

De acuerdo al proveedor belga de seguridad de correo electrónico MX Lab, los correos maliciosos contienen el asunto "Servicio expreso de correo. ¡El paquete está disponible para su entrega! NR1535" y vienen de una dirección suplantada.

El mensaje contenido coincide con alertas comunes de fallas de servicio de paquetería, las cuales han sido usadas por distribuidores de malware con anterioridad.

"Tu paquete has sido devuelto a la oficina de correo expreso. La razón del retorno es una dirección incorrecta para la entrega del paquete".

"Se adjunta a la etiqueta del correo, los detalles de la entrega del paquete. Debe imprimir la etiqueta del correo, y venir a la oficina de correo expreso para recibir los paquetes".

Los correos electrónicos son firmados como "Servicio de correo expreso". Sin embargo, el único servicio con ese nombre que pudo ser identificado está localizado en Serbia.

No sería tan descabellado para los ciber-criminales tener como objetivo a los usuarios de Serbia, especialmente cuando Trend Micro reportó recientemente que el mayor número de infecciones de SpyEye está localizado en Polonia y no en E.U.A o Reino Unido, como uno esperaría.

El archivo adjunto a los correos maliciosos se llama "Post_Express_Label_85211.zip" (el número puede diferir), y contiene un archivo ejecutable.

El ejecutable actualmente tiene una tasa de detección baja en Virus Total, ya que únicamente 16 de 43 motores anti-virus lo consideran malicioso.

La mayoría de ellos reportan firmas y nombres genéricos, pero hay unos pocos como TrendMicro o Sophos que reportan como una variante del malware SpyEye.

SpyEye es un troyano bancario sofisticado, que apareció por primera vez hace un año, para hacer el reto al más establecido desde entonces, el troyano ZeuS.

Hay razones para creer que las dos familias de malware se han unido desde entonces bajo el mismo autor, quien actualmente trabaja en la combinación de sus características.

Esto sería consistente con esta nueva campaña, desde que las notificaciones de falla en la entrega de paquetes solía ser el método más común de propagación de ZeuS.

Como siempre, se advierte a la gente tomar medidas de precaución extremas con los archivos adjuntos, incluso cuando aparenten venir de fuentes confiables. Los servicios en línea como Virus Total pueden servir como buenos indicadores para saber si los archivos son maliciosos o no.