ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>
Enviado el: Friday, November 22, 2019 2:32 PM
Para: Undisclosed-Recipients:
Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.
Importancia: Alta
TELEGRAMA RGO   3100901278
Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .
IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.
Todo documento adjunto contiene una contraseña es : 2019

MALWARE EMAIL BLOG

  • Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
  • Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
  • El URL direcciona a http://download*.mediafire.com
  • El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
  • Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

  • Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
  • Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
  • Un enlace a un sitio “seguro” https, con un enlace traducido del cual un usuario promedio no sospecharía.
  • Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
  • Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

  • Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
  • Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
  • Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
  • En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
  • Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
  • El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

  • Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
  • Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
  • No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
  • Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
  • Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.