Campaña de distribución de malware vía email

Fecha de publicación
01/10/2021
Importancia
4 - Alta
Recursos Afectados

Cualquier empleado o empresario que, habiendo recibido un correo electrónico como los mostrados en la sección “Detalle” de este aviso, haya seguido el enlace y descargado el archivo malicioso. 

Descripción

Se ha detectado una campaña activa de correos electrónicos que persiguen instalar malware del tipo troyano en el equipo de la víctima.

En este caso el mensaje suplanta a CORREOS, pero no se descarta que puedan estar suplantando a otras entidades. El correo tiene como asunto: «Atención cartero no atendido (XXXXXX)», siendo las X números aleatorios, aunque podría tener otros asuntos. El cuerpo del correo contiene un enlace web que dirige al usuario a una página desde donde se descarga el malware.

[Actualización: 07/10/2021] Se ha detectado una nueva campaña de distribución de malware a través del correo electrónico, en esta ocasión suplantando a la entidad financiera BBVA. El correo tiene como asunto: «BBVA Facturas Pagadas al Vencimiento», aunque podría tener otros asuntos. El cuerpo del correo contiene un documento de Word con código malicioso en su interior.

Solución

Si recibes un correo sospechoso, analízalo detenidamente siguiendo las indicaciones de este artículo: '¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos'.

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guarda al menos una en una ubicación diferente y desconectada de la red. Verifica que la copia se realiza correctamente y que sabes recuperarla. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle

Los ciberdelincuentes tratan de distribuir un malware del tipo Caballo de Troya o Troyano con el señuelo de un supuesto envío de Correos no atendido. Dicho malware se disfraza de aplicaciones legítimas para instalar otro malware del tipo ransomware, o del tipo spyware para espiar y recabar datos del sistema y datos personales del usuario como credenciales y tarjetas bancarias o registrando lo que tecleamos (keylogger).

Imagen del correo tipo suplantado a Correos

Una vez se ha clicado en el enlace del localizador en el cuerpo del mensaje o si se da guardar el adjunto al mensaje, se abre una ventana en el navegador que descarga el archivo malicioso. Algunos navegadores pueden detectar que la URL a donde nos dirige el enlace no corresponde a Correos.

El archivo descargado es un archivo comprimido que contiene malware que podría ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

[Actualización: 07/10/2021] El cuerpo de le mensaje es el siguiente:

Correo suplantando al BBVA

El archivo adjunto de Word contiene código malicioso.

  • Si lo has descargado, elimínalo y no lo extraigas o ejecutes en ningún caso. 
  • Si lo has extraído o ejecutado, sigue las instrucciones del apartado “Solución”.

Recuerda que si recibes una notificación oficial emitida por cualquier organismo público o privado, debes acceder a dicha notificación desde su página web oficial o área de clientes. Si dudas de la veracidad, confírmalo por teléfono.

Línea de ayuda en ciberseguridad 017

Ir arriba