Cuando mi mujer me dijo que había recibido un correo electrónico con una confirmación de compra que no había hecho, lo primero que me vino a la cabeza fue:

¿Cómo puede siquiera acordarse de lo que ha comprado? Compra miles de prendas de ropa online, seguramente no se acuerda de ésta, no sería la primera vez 😉

Después de decirme miles de veces que no había comprado en esta tienda, me puse a echar un vistazo al correo, y realmente parecía legítimo, por lo que le volví a preguntar.  Me miró de una manera (como sólo tu mujer puede mirarte) que no dejaba lugar a discusión y en ese momento comprendí que mi vida estaba en peligro.  Estaba muy claro que por mi propio bien, no debería atreverme a preguntar de nuevo sobre el tema 😉

Volví a mirar algo más en detalle al correo y resultó que no era legítimo.  Los cibercriminales utilizan este tipo de técnicas de ingeniería social, pero pocas veces los mensajes son tan elaborados como en este caso:

Cuando pinchas en la URL para ver la orden de compra no llegas a la dirección que aparece en el mensaje. Se trata de un mensaje en formato html, y utilizan el típico truco de poner en texto una URL pero cuando pinchas te lleva a otra completamente distinta. Al hacerlo, te pide que descargues el siguiente fichero:

Como se puede ver, el nombre del fichero es el mismo que el asunto del mensaje y el número falso de orden, y usa un icono de Acrobat.  De este modo los afectados abren el fichero pensando que es un PDF, ya que la mayoría de los usuarios tienen sus sistemas configurados para esconder extensiones de fichero conocidas con lo que no verán el .exe que os muestro en la imagen.

Una vez lo abres…. malas noticias, este es un troyano con capacidades de bot. Está diseñado para robar todo tipo de información personal: desde clientes del Banco de América a datos de jugadores de la plataforma de juegos Steam.  Y registrará todo lo que hagas en el ordenador, por lo que la próxima vez que vayas a Facebook, Gmail, etc, tus contraseñas serán enviadas a los cibercriminales.

Haciendo ingeniería inversa, también encontré que este ejemplar  buscaba a otros troyanos, principalmente otros bots que pudieran competir con él para eliminarlos en caso de que ya estuvieran en el sistema, como Zeus, DarkComet, etc. Como Sean Connery (Ramírez) decía en la película Los Inmortales: “Al final sólo puede quedar uno”.

Una vez instalado crea una entrada en el registro para asegurar su ejecución cada vez que se enciende el equipo. Utiliza como nombre de la clave del registro “Windows Defender”, de tal forma que si el usuario lo ve piense que se trata de una aplicación legítima. Tembién modifica varios valores en el registro para saltarse el firewall (muy importante para el ciberdelincuente si quiere que su creación pueda mandar la información robada de forma silenciosa).

Lecciones aprendidas:

1.- Tu mujer siempre tiene razón, y si te dice algo no hay que volver a preguntárselo.

2.- Acuérdate de todo lo que compras por Internet para evitar disgustos.