Nuevas campañas de correo electrónico están utilizando la identidad de DHL para robar información personal, obtener datos bancarios y comprometer los sistemas de los usuarios mediante malware, según ha alertado ESET.
La compañía de ciberseguridad de origen eslovaco, ha detectado dos campañas diferentes en los últimos días. La primera, en español, simula un problema en la entrega de un paquete e incluye un enlace para reprogramar el envío. La segunda, en inglés, incorpora un archivo comprimido adjunto que contiene código malicioso.
Avisos falsos de entrega
En la campaña dirigida a usuarios españoles, los ciberdelincuentes envían un correo en el que informan de un supuesto intento fallido de entrega. El mensaje está redactado correctamente, utiliza elementos visuales asociados a DHL e incluye un enlace para programar una nueva entrega.
Sin embargo, ese enlace redirige a una web fraudulenta preparada para solicitar información personal y datos bancarios, incluidos los datos de la tarjeta de crédito. Según el análisis, el dominio utilizado por los atacantes había sido registrado apenas unos días antes del inicio de la campaña.
Malware mediante archivos adjuntos
La segunda campaña detectada utiliza un correo en inglés y parece dirigida a usuarios de diferentes regiones. En este caso, el mensaje no busca que el destinatario pulse sobre un enlace, sino que descargue un archivo comprimido adjunto.
Ese archivo contiene código JavaScript ofuscado que inicia una cadena de infección. Una vez ejecutado, descarga un script de PowerShell desde una URL remota, encargado de desplegar el malware final en el sistema.
El código malicioso identificado es VIP Keylogger, una variante de Snake Keylogger, diseñada para robar contraseñas guardadas en navegadores, datos almacenados en clientes de correo, pulsaciones de teclado y capturas de pantalla. Además, puede comunicarse con servicios externos para enviar la información robada a los atacantes.
En palabras de Josep Albors, director de investigación y concienciación de ESET España, este tipo de campañas siguen siendo efectivas porque combinan ingeniería social con técnicas de ofuscación avanzadas para dificultar su detección.
El fraude se apoya en la rutina logística
De esta manera, la alerta vuelve a poner el foco en un problema recurrente para el sector: la suplantación de operadores logísticos y de paquetería se aprovecha de la normalización de los avisos de entrega, los intentos fallidos y las reprogramaciones de pedidos.
En una entrevista publicada por este medio, Cristian Castillo, profesor de la UOC y experto en logística y ciberseguridad, ya advertía de que “el gran volumen actual funciona como excusa perfecta para camuflar mensajes falsos dentro del flujo habitual”.
Según explicaba Castillo, la acumulación de notificaciones vinculadas al e-commerce y la última milla reduce la capacidad del usuario para identificar mensajes sospechosos. En ese contexto, un aviso falso sobre un paquete pendiente puede encajar con facilidad en la rutina diaria del consumidor.
El investigador también señalaba entonces que el punto crítico se produce cuando el fraude reproduce situaciones habituales del proceso logístico, como un supuesto intento fallido de entrega o la necesidad de reprogramar un envío. Esa combinación de urgencia, espera real de paquetes y apariencia de solución inmediata eleva la probabilidad de que el usuario haga clic.
