Gusanito es un conocido sitio web para el envío de tarjetas de felicitación virtuales, cuya fama es utilizada habitualmente por los ciberdelincuentes para enviar correos falsos en su nombre con la intención de engañar a los usuarios.
Como por ejemplo el siguiente email spam, con el asunto "Alguien que te quiere te ha enviado una Postal":
(Click para ampliar)
El formato es similar al de los correos originales, aunque con algunas diferencias. Para empezar en los correos auténticos de Gusanito figura como remitente postales@mailer.gusanito.com, que como vemos no es lo que nos aparece en el email de spam. Otra diferencia es que en los correos legítimos siempre se dirigen al destinatario por su nombre y dicen también quién envía la tarjeta, en lugar del impersonal "Alguien te envió una postal de http://www.gusanito.com" que vemos en el falso. Y un detalle más, los correos auténticos nunca llevan un archivo adjunto con la supuesta tarjeta, sino un enlace que lleva a la página de Gusanito para ver la postal en la misma web.
En el caso de este correo spam se incluye un fichero adjunto comprimido en formato zip:
Al descomprimir la carpeta nos encontramos con el siguiente archivo:
Le han puesto un nombre bastante largo y no se aprecia la extensión del fichero. Pero cambiando la vista de carpeta a iconos más pequeños podemos ver el nombre completo incluyendo la extensión:
Bueno, la veremos si además previamente hemos habilitado la visualización de las extensiones de archivos, como ya comenté en una entrada anterior.
El caso es que para una tarjeta cabría esperar un formato de fichero de imagen (jpg, png, ...) y no un ejecutable "exe", lo cual ya nos alerta de que estamos ante un posible malware. Y efectivamente, lo he subido para analizar a Virustotal y en el momento de escribir esta entrada es detectado por 13 de 46 antivirus, de modo que si un usuario ejecuta el archivo adjunto en un ordenador con Windows infectará su equipo. Y no, no verá ninguna tarjeta.