Dadas las fluctuaciones actuales en el mercado de la energía y el aumento relacionado de los precios para los consumidores, no debería sorprender que los actores de amenazas estén utilizando señuelos para explotar el interés global en este tema.
FortiGuard Labs descubrió recientemente un correo electrónico que usaba esta táctica. El mensaje fue entregado a una compañía de café en Ucrania que aparentemente fue enviado por un proveedor de petróleo en Arabia Saudita.
Pretendiendo ser una orden de compra, la imagen del archivo PDF parcial que se muestra en el cuerpo del correo electrónico era en realidad un enlace a un archivo ISO alojado en la nube que contenía un ejecutable para GuLoader. También conocido como CloudEye y vbdropper, GuLoader data de al menos 2019 y generalmente se usa para implementar otras variantes de malware, como Agent Tesla, Formbook y Lokibot.
Lo que hace que este caso sea interesante es que el ejecutable en cuestión utiliza NSIS (Nullsoft Scriptable Install System), una herramienta gratuita de creación de instaladores basada en scripts para Microsoft Windows, para implementarse. Incluso sin revisar los encabezados de los correos electrónicos, es evidente de inmediato que los orígenes de este mensaje pueden no ser los que se afirman. Tenga en cuenta que la dirección "De" es en realidad "info@zoneofzenith[.]com", que tiene poca semejanza con el dominio de cualquier negocio basado en el petróleo.
Si se hace clic, el enlace lleva al destinatario a una ubicación de OneDrive y le pide que descargue la "orden de compra". Sin embargo, en lugar de un PDF, se descarga el archivo “PO#23754-1.ISO”. Este es el primer paso en la cadena de infección que eventualmente depositará GuLoader en el sistema de la víctima y aquí empezaría todo el proceso por lo que nunca debes fiarte de lo que descargas en internet.
