Desde INCIBE se ha detectado una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar a Correos y Telégrafos con el propósito de difundir ´malware´.
En la campaña identificada, el correo tiene como asunto: «Orden Devuelta – [id (números aleatorios)]». En el mensaje se informa de que se ha tratado de entregar un supuesto paquete pero que no ha sido posible realizarlo, y por ello, se invita al usuario a que reprograme el envío en el plazo de 3 días a una nueva dirección, previo pago de 3.40€. Los correos contienen un enlace que simula ser del área de clientes de Correos, y una vez que el usuario ha clicado sobre el enlace, este es redirigido a una página web maliciosa donde se descargará el ´malware´. Los nombres de los archivos maliciosos son:
CORREOS_000000_XXX.zip
Cada vez que se descarga el archivo, tiene un nombre aleatorio, aunque sigue el mismo patrón: «CORREOS_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias».
Es importante, ante la mínima duda, analizar detenidamente el correo. Si el usuario ha descargado y ejecutado el archivo, debe realizar un escaneo de todo el equipo con el antivirus y seguir las instrucciones marcadas por el mismo para eliminar el ´malware´.
Para evitar ser víctima de este tipo de engaños, INCIBE recomienda seguir estos consejos:
- No abrir correos de usuarios desconocidos o no solicitados, lo mejor es eliminarlos directamente.
- No contestar, en ningún caso, a estos correos.
- Revisar los enlaces antes de hacer clic, aunque sean de contactos conocidos.
- Desconfiar de los enlaces acortados.
- Desconfiar de los ficheros adjuntos, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegurarse de que todas las cuentas de usuario utilizan contraseñas robustas.
Además, es importante realizar periódicamente copias de seguridad y guardarlas en ubicaciones diferentes. Asimismo, se debe verificar que se realizan correctamente. De esta forma, si se produce algún incidente de seguridad será posible recuperar los datos.
El tipo de ´malware´ se ha identificado como Trojan Downloader o Dropper, diseñado especialmente para tomar el control del equipo de la víctima.
Una vez el ´malware´ tiene bajo control el dispositivo afectado, el ciberdelincuente podría robar datos personales o infectar nuevamente el equipo con otros tipos de software malicioso específicos para lograr sus objetivos.
Los ciberdelicuentes hacen uso de la técnica de email spoofing, con la cual simulan que el remitente del correo electrónico es el grupo Correos, cuando en realidad no es así. El mensaje que suplanta a la empresa postal es el siguiente:
Como se puede observar en la imagen, el cuerpo del mensaje contiene múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería. Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «CORREOS_189329_VLM.zip», como puede observarse en la siguiente imagen:
El archivo descargado contiene el ´malware´, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.
Ante la duda sobre si se trata de una notificación de una empresa u organismo oficial, INCIBE recuerda que se debe acceder directamente a través del área de clientes o la sede electrónica para comprobar las notificaciones.
22/10/2020
FUENTE: INCIBE