Sigue la campaña de malware que usa como señuelo a la DGT

Fecha de publicación
13/11/2020
Importancia
4 - Alta
Recursos Afectados

Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

Descripción

Desde INCIBE se advierte de la campaña de envío de correos electrónicos fraudulentos que tratan de suplantar a la Dirección General de Tráfico (DGT) para difundir malware. Dada la duración de esta campaña, que ha sido denunciada en ocasiones anteriores, se pide a los usuarios que estén alerta ante este tipo de fraude.

En la campaña detectada, el correo tiene como asunto: «Multa no pagada - bloque de vehiculos - [ id (números aleatorios) ]». Los ciberdelincuentes, haciendo uso de técnicas de ingeniería social, usan como señuelo una supuesta multa emitida por la Dirección General de Tráfico (DGT) para forzar a la víctima a la descarga y posterior ejecución del archivo malicioso. No se descarta que circulen otros correos con asuntos diferentes al detectado.

Para dar credibilidad al correo, suplantan la dirección del remitente haciendo que parezca que proviene de una entidad legítima cuando en realidad no lo es. Esta técnica se conoce como email spoofing.

El correo contiene un enlace que simula ser de la sede electrónica de la DGT y, una vez que el usuario ha clicado en el mismo, este es redirigido a una página web maliciosa donde se descargará el malware. Los nombres de los archivos maliciosos son:

  • MULTA_000000_XXX.zip

Cada vez que se descarga el archivo tiene un nombre aleatorio, aunque sigue el mismo patrón, “MULTA_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias”.

[Actualización 26/11/2020]

Continua activa la campaña de difusión de malware suplantando a la DGT con el pretexto de notificar una multa. Los ciberdelincuentes tratan de forzar a la víctima a que descargue un fichero comprimido en cuyo interior está el archivo malicioso.

Para hacer más creíble el engaño, los ciberdelincuentes utilizan la técnica de suplantación del remitente (email spoofing) haciendo creer que el remitente es legítimo, cuando en realidad no lo es.

El nuevo asunto identificado es “Multa no pagada [ id números aleatorios ]” aunque no se descarta que circulen otros correos con asuntos diferentes al detectado.

Los correos contienen un enlace que simula ser de la sede electrónica de la DGT y una vez ha sido seleccionado por el usuario, este es redirigido a una página web maliciosa donde se descargará el malware. Los nombres de los archivos maliciosos son:

  • MULTA_000000_XXX.zip

Cada vez que se descarga el archivo tiene un nombre aleatorio, aunque sigue el mismo patrón, “MULTA_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias”.

Solución

Es importante que ante la mínima duda, analices detenidamente el correo, tal y como explicamos en el artículo:

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de verte afectado por algún incidente de seguridad, podrás recuperar la actividad de tu empresa de forma ágil.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

En la campaña detectada, los ciberdelincuentes tratan de distribuir un tipo de malware conocido como Trojan Downloader, en este caso concreto, descarga un troyano bancario cuyo propósito es conseguir información confidencial de la víctima, así como información del equipo infectado. Este troyano bancario también ha sido distribuido en otras campañas anteriormente detectadas.

Para lograrlo, los ciberdelincuentes usan la técnica de email spoofing, con la que tratan de hacer creer que el remitente del correo electrónico es el Ministerio del Interior de quién depende la Dirección General de Tráfico (DGT), cuando en realidad no es así. El mensaje que suplanta al organismo oficial es el siguiente:

Aviso 13/11/2020 - Correo electrónico malware DGT

Realizando una serie de comprobaciones, en el cuerpo del mensaje se pueden detectar múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería.

Al clicar en el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «MULTA_168284_PYS.zip», como puede observarse en la siguiente imagen:

Captura descarga archivo comprimido con malware

El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

[Actualización 26/11/2020]

El correo identificado es el siguiente:

Correo malicioso suplantadno a la DGT

Una vez se ha pulsado sobre el enlace contenido en el cuerpo del correo, se abrirá el navegador para descargar el archivo malicioso. Algunos navegadores pueden detectar el archivo descargado como malware, bloqueando su descarga.

Línea de ayuda en ciberseguridad 017

Ir arriba