Si WhatsApp te ofrece una copia de seguridad de tus chats por mail, ten cuidado: es un nuevo phishing que ha llegado a España

Si WhatsApp te ofrece una copia de seguridad de tus chats por mail, ten cuidado: es un nuevo phishing que ha llegado a España
Sin comentarios Facebook Twitter Flipboard E-mail

La Oficina de Seguridad del Internauta de España (OSI) y la Guardia Civil han alertado acerca de una campaña de phishing que utiliza el nombre y logotipo de WhatsApp para distribuir un troyano bancario. Llega en forma de mail a tu correo simulando ser un mensaje de Whatsapp.

El falso correo electrónico intenta hacer creer a las potenciales víctimas que se trata de una comunicación oficial invitando a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería. Como se observa en la imagen que muestra cómo es el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado “Open_Document_513069.html”.

Un .zip que llega con un troyano bancario

whatsapp

Desde la empresa de seguridad ESET han descargado este archivo HTML que contiene una URL acortada mediante el servicio bitly. Según el análisis realizado del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga la amenaza. En este caso, se trata del troyano bancario Grandoreiro. Según los sistemas de ESET, esta variante es detectada como Win32/Spy.Grandoreiro.BB.

Al mismo tiempo, ahora se sabe que Grandoreiro es un troyano bancario escrito en Delphi que tiene vinculaciones con otras familias de troyanos. "En 2021 vimos cómo algunas de estas familias, incluyendo a Grandoreiro o Mekotio, se expandieron y comenzaron a apuntar a usuarios de España", explica ESET que dice que antes habían sido vistas también en países de América Latina.

Los registros que se han podido comprobar por la empresa de seguridad de los últimos 90 días para esta variante de Grandoreiro detectada en el correo que suplanta la identidad de WhatsApp muestra actividad del troyano principalmente en España, pero también y en menor medida en México y Brasil. Esto no quiere decir que sea la misma campaña, pero sí puede ser la misma estrategia de ingeniería social.

En agosto del año 2020, muchos españoles recibieron correos electrónicos que decían ser de la Agencia Tributaria. Estos mensajes utilizaban información falsa del remitente como "Servicio de Administración Tributaria" y la dirección de correo electrónico era contato@acessofinanceiro.com para engañar a los destinatarios haciéndoles creer que habían recibido una comunicación oficial de la agencia tributaria. Y el origen también era Grandoreiro.

El mensaje no es fácil de detectar como malware

whatsapp

Desde la OSI dicen que estos mensajes se caracterizan por una redacción del mensaje no contiene incoherencias, ni numerosas faltas de ortografía, lo que dificulta su identificación como fraudulento. Además, la fecha de emisión que aparece en la parte inferior suele ser muy próxima al día en que se recibe el correo electrónico, o incluso del mismo día.

Otra caraceterística que claramente te puede hacer sospechar de que es un mail falso es que el dominio de la dirección del remitente no pertenece a WhatsApp. "Aunque podrían darse otros casos en que simularan pertenecer a la propia empresa, ya que este campo es bastante sencillo de falsificar" como explican los expertos. El archivo malicioso se descarga tras pulsar en un enlace que contiene el mensaje, también podría mostrarse como un archivo adjunto. El objetivo parece ser el robo de credenciales bancarias, según lo que se ha podido conocer hasta ahora.

Comentarios cerrados
Inicio