Cuidado si recibes un email de DHL: así la están suplantando los ciberdelincuentes para robarte

Debes tener cuidado con Guinea Pig, el nuevo ataque con malware que está suplantando a DHL. Se trata de una nueva campaña de cibercriminales que fue detectada en marzo de 2023 en Latinoamérica. Se trata de un sistema de distribución de un virus troyano de acceso remoto.

La estrategia de los ciberdelincuentes es la suplantación de identidad de una empresa conocida globalmente, se trata de DHL y está dedicada a la mensajería y paquetería. El malware en distribución detrás de la campaña es AgentTesla, que facilita a los criminales la posibilidad de robar múltiples datos de forma remota, desde contraseñas, hacer capturas de pantalla y compartir información con servidores externos sin autorización.

Desinstala ya estas 9 apps de Google Play de tu móvil

El ataque con el troyano AgentTesla

El ataque con el troyano detrás de GuineaPig concentró sus actividades principalmente en México, con más del 45% de sus ataques. Luego estuvo Perú, Colombia, Ecuador y Chile, junto a otras localidades de la misma región.

En un estudio realizado por la empresa de seguridad ESET, detectaron que los ataques estaban dirigidos especialmente a empresas del sector agropecuario y los insumos médicos.

Cómo opera GuineaPig

El proceso de infección de GuineaPig comienza como la mayoría de los troyanos, con un código malicioso tipo downloader, que se encarga de instalar en segundo plano, sin autorización del usuario, pero sin que pueda detectarlo tampoco, todos los ficheros para completar el proceso de infección.

Uno de los principales inconvenientes, es que este malware ha estado sufriendo modificaciones en su código para que los criminales puedan evitar ser detectados. Este troyano es comercializado en la dark web o deep web, pudiendo incluso encontrar versiones gratuitas en repositorios clandestinos.

La persona a infectar recibirá un correo electrónico con un archivo adjunto comprimido, una vez que se descarga y se ejecuta, comienza el proceso de infección que sucede en varias etapas.

Para engañar a las víctimas, les envían un correo con las señales gráficas de la empresa DHL y además le indican que tienen un paquete pendiente de entrega y que deben descargar el archivo adjunto para conocer más detalles.

Sin embargo, la poca formalidad y los claros errores de redacción del correo podrían ponerte en alerta, aunque así algunas personas terminan siendo igualmente víctimas.

Una vez que el archivo es descargado y ejecutado, la persona podrá encontrar un archivo ejecutable en framework Microsoft .NET que tiene dentro el código malicioso que se encarga de ejecutar otro código para descargar una DLL en la que se encuentra el malware.

Lamentablemente, el servidor en el que se encuentran los archivos maliciosos en los que está alojado el malware se encuentran activos desde febrero de 2023.

Por esta razón, la recomendación es la misma que se realiza regularmente para protegerse de este tipo de malware, es importante que se evite la descarga de archivos adjuntos cuando provienen de fuentes desconocidas.

Así mismo, bloquee cualquier dirección y elimine mensajes que son enviados desde correos electrónicos desconocidos, tenga en cuenta que las comunicaciones de estas empresas siempre son de forma personalizada.

KingsPawn: así es cómo los cibermercenarios israelís ayudan a que los gobiernos nos espíen