El Instituto Nacional de Ciberseguridad (INCIBE) alerta que ha detectado una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar a Correos y Telégrafos con el propósito de difundir malware.
En esta campaña, el correo tiene como asunto: «Orden Devuelta – [id (números aleatorios)]». En el mensaje se informa de que se ha tratado de entregar un paquete pero que no ha sido posible realizarlo, y por ello, se invita al usuario a que reprograme el envío en el plazo de 3 días a una nueva dirección, previo pago de 3,40 €. Los correos contienen un enlace que simula ser del área de clientes de Correos, y una vez que el usuario ha clicado sobre el enlace, este es redirigido a una página web maliciosa donde se descargará el malware. Los nombres de los archivos maliciosos son:
CORREOS_000000_XXX.zip
Cada vez que se descarga el archivo, tiene un nombre aleatorio, aunque sigue el mismo patrón: «CORREOS_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias».
El correo electrónico trata de distribuir un tipo de malware, identificado como Trojan Downloader o Dropper, diseñado especialmente para tomar el control del equipo de la víctima.
Una vez el malware tiene bajo control el dispositivo afectado, el ciberdelincuente podría robar datos personales o infectar nuevamente el equipo con otros tipos de software malicioso específicos para lograr sus objetivos.
Los ciberdelicuentes hacen uso de la técnica de email spoofing, con la cual simulan que el remitente del correo electrónico es el grupo Correos, cuando en realidad no es así. El mensaje que suplanta a la empresa postal es el siguiente:
Como se puede observar en la imagen, el cuerpo del mensaje contiene múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería.
Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «CORREOS_189329_VLM.zip», como puede observarse en la siguiente imagen:
El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.
Nuestros consejos
Si te quieres proteger contra este tipo de ataques, nuestros consejos son:
- No te dejes engañar por el nombre del remitente. Por ejemplo, esta estafa puede ser recibida en nombre de la “Correos y Telégrafos”, pero en realidad el remitente puede poner el nombre que quiera utilizando el campo “De: …”
- Pon especial atención en los errores ortográficos y gramaticales. No todos los ladrones los cometen, pero muchos sí. Tomate un tiempo extra para revisar los mensajes recibidos en busca de señales que indiquen que pueden ser fraudulentos. Ya es bastante malo ser estafado como para descubrir que podrías haber descubierto el fraude por adelantado.
- No descargues ningún archivo que no has solicitado. La mayor parte de las veces contendrá malware.
- En caso de duda sobre la legitimidad del correo, no pulses sobre ningún enlace ni descargues ningún archivo y ponte en contacto con la empresa o el servicio que supuestamente te ha enviado el correo, siempre a través de sus canales oficiales de atención al cliente.
- La concienciación y formación es fundamental para detectar esta clase de de correos fraudulentos. Productos como Sophos Phish Threat logran concienciera a los usuarios simulando campañas de ataques de phishing para empleados pero de una forma segura, mostrando los trucos que utilizan los ciberdelincuentes pero sin que se produzcan daños reales si alguien cae en la trampa.