Nos encontramos ante el típico caso de estafa al CEO utilizando el phishing como medio para llegar a él. Nuestro cliente recibe un correo supuestamente de alguien de confianza o así lo parece. En estos casos el ciberdelincuente suele utilizar o crear cuentas de correo similar a las de alguien conocido o de confianza. Realizamos un análisis forense del disco del cliente en busca de evidencias y detectamos en las carpetas que almacenan los archivos temporales, un archivo sospechoso denominado image1, image2, image3.jpeg.exe.
Para la detección de una posible infección por malware, utilizamos un software de Anti-Malware, concretamente “Malwarebytes”. Se detecta un malware-spyware denominado “Trojan.zbot” cuyo objetivo es robar información al usuario (p. ej. nombre de usuario y contraseña), que posteriormente se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras de nuestro país.
Seguimos investigando para localizar cual ha sido el origen de la infección y encontramos un correo de alguien de confianza con el archivo image1,image2,image3.zip. Es evidente que el usuario cometió una negligencia abriendo ese archivo comprimido y ejecutando posteriormente el archivo .exe pensando que podría ser alguna imagen.
A partir de ese momento comienza su pesadilla, este troyano lo que hace además de robar tus credenciales para el acceso a la banca electrónica, también redirecciona a una página “falsa” del banco cuando intentamos entrar en la original. En este caso la imagen de la página fraudulenta es prácticamente igual que la original, tienes que ser un experto en diseño para detectar los 3 errores que había. Cuando el usuario entra en la página le sale un mensaje de advertencia diciéndole que ha recibido una transferencia por error de 8000 € y que por favor la devuelva. Lo primero que hace el usuario es consultar su cuenta para comprobarlo y sorpresa!! el ingreso está realizado, con lo que no duda en hacer la transferencia a la cuenta que aparece en el mensaje para devolver el dinero. Todo esto lo realiza a última hora de la tarde con lo que no puede hablar con su banco, además desconoce que las transferencias solo se podrían retroceder antes de las 12 de la noche. Al día siguiente y sospechando que lo ocurrido no le parecía del todo normal, consulta la cuenta de nuevo desde otro ordenador de la empresa y solo ve la transferencia que el realizó!! Cuando llama a su banco, ya no la puede retroceder y su banco le hace responsable de todo lo ocurrido.
Resolución del caso: Nuestro trabajo consistió en analizar el equipo en busca de evidencias para detectar el origen del problema. El responsable fue el usuario pero el banco debió informar adecuadamente al usuario/cliente de que podría ser víctima de una estafa y no lo hizo. Tuvimos que analizar también la documentación aportada por el banco para eximirse de responsabilidades, pero cometieron un error a la hora de presentar la ventana informativa, cuando el cliente entra en su página. Se trataba de una ventana emergente que el usuario podía cerrar o incluso no ver el mensaje porque el navegador tuviera desactivado la opción de ventanas emergentes. En este caso debió presentar el aviso de forma que el usuario no pudiera continuar interactuando con la página.
