Una campaña maliciosa de correo electrónico que se hace pasar por DHL está distribuyendo un archivo adjunto que instala malware al abrirlo. El correo utiliza el asunto ” DHL Shipment Notification Ref ID: 44633179800 ” y afirma que DHL está enviando copias digitales de la documentación de envío. El mensaje indica al destinatario que descargue y abra un archivo y que habilite la edición una vez que el documento esté abierto. El correo es malicioso y debe ser ignorado.
El correo electrónico se presenta como un aviso que contiene documentos de envío. El archivo adjunto es un documento de Word con un formato similar a “Documentos de envío originales [números aleatorios].docx.” El accesorio es la parte principal del ataque. Al abrirlo, el documento indica al usuario que habilite la edición. Hacerlo activa código macro malicioso incrustado en el archivo. Una vez activa, la macro intenta descargar malware adicional desde servidores remotos.
El análisis de muestras de esta campaña muestra que el documento es un descargador de troyanos. Tras ejecutarse la macro, el malware recupera archivos que pueden recopilar credenciales de acceso a la pantalla, leer datos del navegador, registrar pulsaciones de teclas o permitir el acceso remoto al dispositivo. Algunas variantes intentan instalar más malware o conectar el dispositivo a un servidor de comandos remoto. La operación depende de que el usuario habilite la edición, lo que da al código malicioso acceso a las funciones del sistema.
El correo malicioso imita la marca DHL para parecer creíble. Los atacantes utilizan los colores, la estructura de diseño y la colocación del logo de DHL para crear un mensaje que se asemeja a un aviso de envío. El correo electrónico muestra un número de referencia en el asunto para parecer aún más oficial. Sin embargo, el contenido no incluye datos de rastreo, información del remitente, orígenes del envío ni detalles personalizados. El mensaje no contiene enlaces a la web de DHL y depende completamente de convencer al usuario para que abra el archivo adjunto.
Los atacantes detrás de esta campaña dependen del reconocimiento global de DHL. El nombre y la marca animan a los destinatarios a creer que el mensaje es legítimo, especialmente cuando esperan una entrega o tienen experiencia con servicios de envío. La estafa depende de que el destinatario reaccione rápidamente, crea el mensaje y abra el archivo sin verificar la fuente. Una vez que el usuario habilita la edición, el dispositivo queda expuesto a toda la carga útil de malware.
El correo completo de ” DHL Shipment Notification Ref ID: 44633179800 ” está a continuación:
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Cómo identificar correos electrónicos maliciosos
Identificar los correos maliciosos es esencial para prevenir infecciones por malware. Varios indicadores pueden ayudar a los usuarios a determinar si un correo electrónico es sospechoso o potencialmente perjudicial. Una de las señales más claras es la dirección del remitente. DHL utiliza dominios oficiales para toda la comunicación con los clientes. Cualquier correo electrónico que provenga de un servicio de correo gratuito, como Gmail o de un dominio desconocido, debe tratarse con precaución. Los atacantes también pueden usar variantes de dominios legítimos para engañar a los usuarios, por lo que es importante una inspección detallada de la dirección.
Otra señal de alerta es el uso de saludos genéricos o declaraciones vagas sobre envíos. Las empresas legítimas suelen referirse a los clientes por su nombre o incluir detalles específicos de pedido. Los estafadores suelen usar frases generales como “Estimado cliente” o “Ha llegado su envío” sin dar contexto. Los usuarios deben estar atentos a correos electrónicos inesperados sobre entregas que no solicitaron o paquetes que no esperan.
Los apegos son una fuente importante de riesgo. DHL generalmente proporciona información de seguimiento a través de enlaces a su página web oficial, no mediante documentos adjuntos. Un archivo que requiere que el usuario habilite la edición o las macros es un fuerte indicador de intención maliciosa. Los usuarios nunca deben activar la edición ni habilitar scripts para archivos adjuntos no solicitados, especialmente aquellos que afirman contener documentos de envío. Si el correo contiene un archivo adjunto, los destinatarios deben verificar su autenticidad a través de canales independientes, como revisar los pedidos existentes o visitar manualmente la página web oficial de DHL.
Los errores gramaticales, ortográficos y de formato también pueden señalar mensajes maliciosos. Los atacantes pueden no seguir las guías de estilo corporativas, y sus correos electrónicos a veces contienen una redacción torpe o un formato inconsistente. Aunque algunas estafas están elaboradas con cuidado y pueden parecer pulidas, muchas contienen errores que indican que no son comunicaciones corporativas legítimas.
Los usuarios también deben evaluar cualquier enlace en el mensaje. Al pasar el cursor sobre un enlace, los destinatarios pueden ver la URL de destino. Si la dirección no coincide con el dominio oficial de DHL, no debería abrirse. Los atacantes suelen usar enlaces que imitan sitios web legítimos incluyendo nombres o personajes similares que son fáciles de pasar por alto. Estas direcciones engañosas pueden dar lugar a páginas de phishing diseñadas para robar credenciales de acceso o información personal.
Las solicitudes inesperadas de pago, datos personales o verificación también deben considerarse sospechosas. DHL y otras compañías de confianza no piden a los clientes que proporcionen información sensible mediante correos electrónicos no solicitados. Cualquier mensaje que solicite credenciales de acceso, información financiera o datos de identidad debe considerarse fraudulento a menos que sea verificado de forma independiente.
Reconocer las señales de comunicación maliciosa por correo electrónico es vital, especialmente a medida que los atacantes continúan perfeccionando sus tácticas. Las estafas temáticas de entrega de paquetes siguen siendo comunes porque explotan experiencias cotidianas y pueden ser difíciles de distinguir de mensajes genuinos. La inspección cuidadosa y el comportamiento cauteloso siguen siendo las mejores defensas contra estas amenazas.