Con el empaque luciendo lo suficientemente legítimo a primera vista, los estafadores están enviando memorias USB falsas de Microsoft Office, cargadas con ransomware, a las personas.
Según lo informado por Tom’s Hardware y PCMag, los USB se envían a direcciones seleccionadas al azar con la esperanza de convencer a los objetivos de que inadvertidamente recibieron un paquete Office Professional Plus de $ 439.
Junto con la memoria USB falsa, también se incluye una clave de producto. Sin embargo, conectar la memoria USB a un sistema dirige al usuario a llamar a una línea de atención al cliente falsa en lugar de una ventana de instalación de inicio real para Office.
Una vez conectados a la línea de soporte de fraude, los actores de amenazas intentan instalar un programa de acceso remoto para violar y controlar la PC del objetivo.
El consultor de ciberseguridad Martin Pitman confirmó la existencia de la estafa cuando su madre lo llamó con respecto al paquete. Debido a que trató de instalar lo que pensó que serían programas de Office, Pitman pudo obtener una idea de cómo funciona el esquema.
Se presenta una alerta de un virus a la víctima cuando se conecta el USB, lo que solicita al usuario que llame a un número de soporte. «Tan pronto como llamaron al número en pantalla, el servicio de asistencia instaló algún tipo de TeamViewer (programa de acceso remoto) y tomó el control de la computadora de la víctima», dijo a Sky News.
Disfrazado de técnico de soporte al cliente de Microsoft, la persona al otro lado del teléfono también le pediría detalles de pago.
Como destaca Tom’s Hardware, los esquemas de paquetes postales no se encuentran entre las tácticas habituales utilizadas por los delincuentes. Pero con la creciente conciencia de las estafas por correo electrónico, parece que los estafadores ahora están volviendo al envío de productos físicos.
Microsoft, que ha iniciado una investigación interna sobre el asunto, dijo que ha visto que tales métodos se utilizan en el pasado, pero no están generalizados.
Robert Pooley, quien trabaja como director en la firma de ciberseguridad Saepio, con sede en el Reino Unido, llamó la atención sobre la estrategia falsa de USB de Microsoft Office en julio. «Toda una estafa. Muestra lo importante que es la conciencia cibernética en el trabajo y en el hogar», dijo a través de una publicación de LinkedIn.
En un caso similar que ocurrió en 2020, la compañía de seguridad Trustwave descubrió que las memorias USB falsificadas, disfrazadas como una promoción de tarjeta de regalo best buy de $ 50, se enviaban a objetivos desprevenidos.
