Campaña de phishing que descarga malware Grandoreiro
Cualquier empresario, autónomo o empleado que haga uso del correo electrónico y reciba un correo como los que se describen en el aviso y haya ejecutado el archivo que se descarga en el dispositivo.
Se ha detectado una campaña de correos maliciosos de tipo phishing que tiene como objetivo infectar los dispositivos el malware conocido como Grandoreiro.
Si creemos estar ante un correo fraudulento, lo primero que debemos hacer es ignorar el mensaje y eliminarlo, y por supuesto, no hacer clic en ningún enlace, ni descargar ningún archivo adjunto del correo. Si tenemos la sospecha de haber sido víctima de uno de estos correos, lo primero que debemos hacer es:
- Escanear nuestro dispositivo con un antivirus actualizado para eliminar cualquier posible infección.
- Eliminar cualquier archivo que hayamos descargado del correo.
- Cambiar las contraseñas de las cuentas a las que hayamos accedido mientras hemos tenido instalado el malware, ya que este troyano es capaz de capturarlas y enviárselas al atacante.
- Para más seguridad se recomienda activar la doble verificación en todas aquellas cuentas que lo permitan. De esta forma, el atacante no podrá iniciar sesión, aunque tenga las credenciales.
- Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, en caso necesario. Además, la entidad debe ser informada para que denuncie el incidente y así no se den más víctimas, ya que Grandoreiro tiene la capacidad de desplegar ventanas emergentes falsas que suplantan la identidad del banco.
- Y, finalmente, recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.
Para prevenir, es importante que realices acciones de concienciación en ciberseguridad entre los empleados.
Los correos electrónicos detectados siguen el siguiente patrón:
El usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.
En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.
Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.
En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.
Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.
En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.
Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.
Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.
En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.
En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.
No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
