Si recibes este correo sobre tu nómina, no lo abras: así funciona la nueva estafa que vacía tus cuentas

Si te ha llegado la nómina a través del email, cuidado, porque es posible que los ciberdelincuentes hayan trucado la dirección para que les des tus datos.
Investigadores de ciberseguridad han descubierto un método infalible para robar datos de las personas a través del envío de correos electrónicos fraudulentos en los que los usuarios han de introducir su información personal para, presuntamente, consultar sus nóminas.
El verano es una de las épocas más prósperas para los ciberdelincuentes, que aprovechan el despiste, la ausencia y las ganas que tienen los empleados de desconectar para perpetrar sus ataques más agresivos.
Según se ha descubierto recientemente, una buena manera de engañar a la gente es a través de las nóminas enviadas mediante correo electrónico, un formato de procedimiento sencillo y efectivo.
Es así como lo han determinado los expertos en ciberseguridad de Ontinet, que son conscientes de que "el final y el principio del mes son momentos especialmente sensibles, porque muchas personas esperan recibir comunicaciones legítimas relacionadas con su salario".
Este fraude, en palabras de Josep Albors, director de investigación y concienciación de ESET España, "es especialmente representativo de cómo operan las campañas de phishing, ya que aprovecha una rutina real dentro de las empresas".
Los ciberdelincuentes usan la nómina como señuelo
Los investigadores de Ontinet, distribuidor externo de ESET España, han analizado una campaña que aprovecha la excusa del envío de la mínima para estafar a sus víctimas, con un procedimiento muy claro, que comienza con el envío de la supuesta mínima.
Disponible para su descarga, el documento se incorpora en un correo en el que no se dan demasiadas pistas de quién lo envía. Esto quiere decir que ni se indica cuál es la empresa que lo ha emitido o el responsable. Simplemente, se alude a una comunicación emitida por el departamento de recursos humanos.
En el correo se ha observado que se hace mención a un supuesto recibo del salario, que se puede descargar desde un enlace proporcionado después de indicar a qué mes pertenece con letras en negrita, para llamar la atención de los usuarios.
De este modo, el link actúa como cebo para engañar a los usuarios que reciben dicha comunicación y les insta a pulsar sobre él. Una vez llevado a cabo este caso, no hay vuelta atrás, ya que es donde realmente comienza la estafa.
Un documento disponible que resulta estar lleno de virus
Tras hacer clic sobre el enlace, los usuarios serán redirigidos a una página web preparada por los delincuentes con un dominio que trata de suplantar la identidad de Adobe Acrobat Reader.
Esta es la plataforma que habitualmente soporta este tipo de documentos, además de que se muestra una imagen en la que se indica que está disponible uno, motivo de más para que los usuarios hagan clic sobre el logo, creyendo que están accediendo a sus nóminas.
No está de más comentar que, en la url, se identifica claramente que el enlace al que se ha redirigido es falso, debido a que aparece como https://b.acrobatreader.online/. En la dirección legítima, aparece el nombre de la marca, que es Adobe.
A continuación, se muestra una pantalla en la que se indica que el documento está listo para su descarga y que, una vez hecho, el usuario podrá abrirlo cuando lo crea conveniente, desde la carpeta en la que lo haya instalado.
De ese modo, al pinchar sobre la carpeta que se ha descargado, se ejecuta un fichero malicioso que, a su vez, pone en marcha mshta.exm que es una herramienta oficial de Windows destinada a la descarga y ejecución de scripts desde internet.
Al ejecutarlo, por tanto, el scripts se descarga y puede modificar las claves del usuario, debilitando a su vez las protecciones predeterminadas del navegador, así como permitiendo la ejecución de nuevas operaciones maliciosas.
En última instancia, se descarga y se ejecuta el payload de los delincuentes, que trata de robar información del sistema. Principalmente, la relacionada con las tarjetas de crédito o credenciales de banca online.


