Estamos acostumbrados a recibir emails con enlaces maliciosos todos los días, pero es fácil identificarlos, por lo que no representan mucho peligro. Basta muchas veces con mirar el remitente para comprobar cómo su cuenta de email viene de algún dominio sospechoso, por lo que la mayoría caen directamente al spam.
La cosa cambia cuando el email llega de un dominio de prestigio, como Adobe usando su plataforma de firmas digitales. Eso es lo que está ocurriendo durante los últimos días, un ataque dirigido a Youtubers que comienza con un email como el mostrado en la captura inferior, donde se ofrece un documento para ser firmado, un documento que habla de una supuesta infracción de copyright en algún vídeo publicado.
Aunque Youtube gestiona estas infracciones indirectamente, con una sección específica para avisos y peticiones de eliminación de contenido, la sospecha crece en el Youtuber, y seguramente hará clic en el enlace de Adobe porque, al fin y al cabo, es adobe.
El documento suele tener el formato siguiente:
Ahí es donde está el enlace malicioso, en ese documento hospedado en Adobe, con el campo de firma incluido, aunque también han usado dochub.com para alojar los documentos maliciosos.
Tanto Adobe como dochub van eliminando de sus sistemas estos documentos, ya que en ellos hay petición para bajar un archivo .zip donde se encuentra el verdadero virus:
No son documentos, son ejecutables que, cuando se analizan con virustotal muestran su verdadera naturaleza:
Windows también lo detecta como amenaza, por supuesto
Entre ellos se encuentra el Trojan:W32/GenInflated.B, un Troyano que secuestra el ordenador pidiendo un pago para rescatar la información