Subway UK ha revelado que un sistema pirateado utilizado para campañas de marketing es responsable de los correos electrónicos de phishing cargados de malware enviados a los clientes ayer.
A partir de ayer, los clientes de Subway UK recibieron correos electrónicos extraños de ‘Subcard’ sobre un pedido de Subway que se realizó. En el correo electrónico se incluyeron enlaces a documentos que supuestamente contenían la confirmación del pedido.
Fuente: Twitter
Después de analizar estos correos electrónicos de phishing, se descubrió que estaban distribuyendo documentos de Excel maliciosos que instalarían la última versión del malware TrickBot.
TrickBot es una infección de malware desagradable que permite a los atacantes robar contraseñas guardadas del navegador, propagarse por una red, robar cookies del navegador, robar credenciales RDP, VNC y PuTTY, y mucho más. Peor aún, TrickBot puede eventualmente proporcionar acceso a las operaciones de ransomware Ryuk o Conti.
Como estos correos electrónicos contenían el nombre de un cliente y utilizaban direcciones de correo electrónico que algunos usuarios crearon específicamente para Subway, se sospechó que Subway había sido violada de alguna manera.
Cuando contactamos a Subway ayer sobre esta campaña de phishing, recibimos una respuesta que aludía a una “interrupción” de algún tipo en sus sistemas de correo electrónico.
“Somos conscientes de algunas interrupciones en nuestros sistemas de correo electrónico y entendemos que algunos de nuestros huéspedes han recibido un correo electrónico no autorizado. Actualmente estamos investigando el asunto y pedimos disculpas por cualquier inconveniente. Tan pronto como tengamos más información, nos pondremos en contacto, hasta luego, como medida de precaución, recomendamos a los huéspedes que eliminen el correo electrónico “, dijo un portavoz de Subway a BleepingComputer.
Subway confirma un servidor pirateado utilizado en un ataque
Después de enviar varios correos electrónicos a Subway sobre la ‘interrupción’ observada en su sistema, la compañía reveló que un servidor responsable de sus campañas de correo electrónico había sido pirateado para enviar los correos electrónicos de phishing.
“Después de investigar el asunto, no tenemos evidencia de que las cuentas de los huéspedes hayan sido pirateadas. Sin embargo, el sistema que administra nuestras campañas de correo electrónico se vio comprometido, lo que llevó a una campaña de phishing que involucró el nombre y el correo electrónico. El sistema no tiene ningún banco o detalles de la tarjeta de crédito.”
“Se inició el protocolo de crisis y se bloquearon los sistemas comprometidos. La seguridad de nuestros huéspedes y sus datos personales es nuestra principal prioridad y nos disculpamos por cualquier inconveniente que esto pueda haber causado”, dijo Subway en un comunicado a BleepingComputer.
Subway también ha comenzado a enviar correos electrónicos de divulgación a los clientes afectados que indican que el nombre y apellido del cliente quedaron expuestos en el ataque.
Haga clic en la imagen para verla en tamaño completo.
Si recibió este correo electrónico y abrió por error el documento de Excel malicioso, puede verificar la versión actual de TrickBot abriendo el Administrador de tareas y buscando un proceso llamado ‘Informe de problemas de Windows’. Si se encuentra ese proceso, haga clic en el botón ‘Finalizar tarea’, como se muestra con la flecha roja a continuación, para finalizarlo.
Ahora realice un escaneo completo de su computadora usando un software antivirus y limpie todo lo que encuentre.
BleepingComputer se ha comunicado una vez más con Subway para determinar cuántas personas se vieron afectadas y si se almacenó alguna otra información del cliente en ese servidor. No hemos recibido respuesta en este momento.
