ESET analizó una campaña de phishing activa  a través de un correo que se hace pasar por el envío de dos archivos para su descarga a través del popular servicio para el envío de archivos de gran tamaño WeTransfer.

El mensjae en el asunto del correo dice “info Received your (2) files via WeTransfer”, que en español quiere decir “ha recibido sus (2) archivos a través de WeTransfer”. El correo incluye un enlace de descarga y se indica también la fecha de vencimiento de dicha descarga (10 de febrero).

Correo de un falso remitente con el mensaje en el asunto indicando que llegaron dos archivos para su descarga a través de WeTransfer.

Lo primero que llama la atención es que la dirección del remitente termina con un dominio de correo desconocido, cuando debería ser “noreply@wetransfer.com”. Si un usuario no sospecha de este correo, al hacer click en la opción para descargar los archivos será redireccionado a una página que no es la de WeTransfer, sino que pertenece a un dominio de Chile (.cl). Allí se solicitará a la víctima ingresar sus claves para poder comenzar con la descarga.

El dominio de la página a la que redirecciona no pertenece a WeTransfer, sino a un dominio de Chile.

Nuevamente, lo que llama la atención es la dirección URL a la que redirecciona el correo, ya que no es la de WeTransfer, sino una página que tiene como dirección la de un sitio de Chile.

Una vez que se ingresan las credenciales (cosa que sería necesaria, porque WeTransfer no solicita ingresar ninguna clave para descargar archivos que llegan a traves del correo) el usuario es direccionado a una página real de WeTransfer en la que aparecerá un mensaje que dice que la descarga de los archivos expiró.