A diferencia de otros ataques basados en el correo electrónico que requieren la apertura del email por parte de los usuarios, haciendo click en el link que incorpora el mensaje o descargar y ejecutar un archivo adjunto, este ataque se limita a pedir al usuario una vista previa del mensaje en su navegador para poder lanzar el ataque.

Esta vista previa permite la descarga de un script de una URL remota. El script descargado después se inyecta en la página para iniciar el robo de información, que puede incluir datos sensibles tales como mensajes de email e información de contactos. Además, el script establece el reenvío de correos electrónicos mandando todos los mensajes de los usuarios a una dirección específica.

El email parece estar especialmente diseñado para un destinatario concreto, en el que su ID de Hotmail es utilizado específicamente en el script malicioso integrado en el correo. Además, la descarga posterior se basa en el ID de Hotmail y un número especificado por el atacante. Cambiar el número puede cambiar la carga útil.

Acceso a la información corporativa

Si un trabajador comprueba su correo web personal en el trabajo y es víctima del ataque, el atacante puede acceder a información sensible que podría estar relacionada con la compañía que le emplea, incluyendo los contactos y los mensajes de correo electrónico. Las empresas deben tomar en serio el riesgo que entrañan éste y otros ataques similares, sobre todo teniendo en cuenta que basta con una vista previa del email para activar y lanzar el ataque.

TrendLabs está trabajando en un análisis en profundidad del ataque. Por su parte Trend Micro alerta a los usuarios y les aconseja extremar las precauciones al abrir su webmail, especialmente en el trabajo, ya que ataques como estos pueden comprometer la información confidencial.

Trend Micro detecta el script malicioso descargado, que ha identificado como JS_AGENT.SMJ y bloquea la URL maliciosa utilizada en este ataque.

La recomendación para los clientes de Trend Micro es que habiliten la Reputación Web en sus productos para evitar ser víctimas de éste y otros ataques similares. Por su parte, aquellos que no son clientes de Trend Micro también pueden protegerse a través de una combinación de herramientas gratuitas como Trend Micro Web Protect Add-on y Browser Guard, o similares.