Si has recibido un correo con una notificación de la Policía Nacional no descargues el archivo es un malware

Fecha de publicación 04/03/2024
Importancia
3 - Media
Recursos Afectados

Cualquier usuario que haya recibido algún correo con las notificaciones mencionadas y haya descargado y ejecutado el archivo con la supuesta citación que contiene malware.

Descripción

Se ha detectado una campaña que suplanta a la Policía Nacional, utilizando la técnica de phishing, con la que se pretende distribuir un malware a través de notificaciones que hacen referencia a un supuesto informe policial emitido y una advertencia de citación, solicitando a la persona que reciba dicho correo a comparecer como testigo en una audiencia que se celebrará un día determinado.

Para ello, el usuario dispone de un enlace que supuestamente contiene la descarga de la citación, aunque en realidad esa descarga tiene un archivo con contenido malicioso.

Solución

En caso de que hayas recibido un correo electrónico que parece ser de la Policía Nacional, citándote como testigo en una supuesta audiencia, pero no has interactuado con el enlace ni has descargado el archivo que viene adjunto, clasifícalo como spam y bórralo de tu bandeja de entrada.

Por otro lado, si has descargado el archivo, pero no lo has ejecutado, es importante que lo elimines de tu carpeta de descargas y de la papelera de reciclaje.

En cambio, si has descargado y ejecutado el archivo para obtener información sobre la supuesta citación, es recomendable que realices los siguientes pasos:

Evita ser víctima de fraudes de este tipo siguiendo nuestras recomendaciones:

  • Desconecta el equipo que haya podido verse comprometido de la red doméstica para prevenir la propagación del malware a otros dispositivos.
  • Mantén actualizado el antivirus y efectúa un escaneo total del sistema para asegurarte de que se encuentra fuera de peligro.
  • Si crees que el dispositivo puede continuar infectado, debes plantearte restablecerlo a su configuración de fábrica para desinfectarlo. Ten en cuenta que este proceso eliminará todos los datos que tengas guardados, por lo que se recomienda realizar copias de seguridad de forma regular.
  • Toma capturas de pantalla del email y de los archivos adjuntos para usarlas como evidencias en caso de que presentes una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Puedes recurrir a testigos online para validar el contenido de dichas pruebas.
  • Siempre puedes comprobar que se trata de una comunicación oficial a través de la plataforma de la Policía Nacional o llamar al teléfono 017 de INCIBE para obtener consejos de expertos en ciberseguridad.

Conoce cómo protegerte de este tipo de virus y otros ataques similares mediante nuestras directrices recomendadas.

Detalle

Ha sido detectada una campaña de suplantación de la Policía Nacional mediante la técnica de phishing, con la intención de distribuir un determinado tipo de malware llamado Mekotio.

Esta campaña utiliza la excusa de una citación para asistir como testigo en la audiencia que se celebrará en una fecha cercana a la recepción del comunicado. Dicho correo invita al usuario a descargar la citación a través de un enlace, el cual contiene el archivo malicioso que al descargarlo ejecutará un malware en el dispositivo.

Se han detectado correos con asuntos como: “INFORME POLICIAL EMITIDO” y direcciones de origen con similar estructura de dominio, donde XXXX son números aleatorios:

  • “POLICIA NACIONAL” <intimacionesXXXXX@fastinse.from-fl.com>
  • “POLICIA NACIONAL” <intimacionesXXXXX@fastinse.from-in.com>
  • “POLICIA NACIONAL” <intimacionesXXXXX@fastinse.from-id.com>

No se descarta que puedan llegar a utilizar otros asuntos y direcciones distintas, con lo cual se debe extremar la precaución si se recibe algún correo o comunicación similar.

Hay algunos indicios que nos pueden hacer sospechar que se trata de un correo fraudulento, por ejemplo, en el caso de estos, podemos fijarnos en que el contenido del correo es muy simple, sin ningún tipo de logo oficial. Además, los dominios de dichos correos no tienen relación con los usados por la Policía Nacional.

Ejemplo de uno de los tipos de correo que se están distribuyendo en esta campaña de suplantación.

En la imagen se muestra un ejemplo del correo electrónico malicioso en el cual los ciberdelincuentes intentan de forma urgente que el usuario se descargue el archivo adjunto.

 

Al analizar el archivo .msi descargado, a través de la herramienta online de VirusTotal, se observa que múltiples firmas de antivirus lo detectan como malicioso.

En la imagen se muestra un escaneo de la plataforma VirusTotal donde se indica que el fichero analizado, en este caso el que el ciberdelincuente pretende que descarguemos se trata de un malware conocido como Mekotio.

 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas