Hace unos días, el Instituto Nacional de Ciberseguridad (INCIBE) advertía de una nueva campaña de distribución de malware dirigida contra los usuarios españoles que han solicitado (o creen haber solicitado) el certificado digital.
Los atacantes, haciéndose pasar por la Fábrica Nacional de Moneda y Timbre (la FNMT, el organismo que gestiona los certificados), están enviando correos electrónicos fraudulentos que simulan ser oficiales, y en los que se incluye un archivo adjunto o enlace para supuestamente descargar el certificado del Número de Identificación Fiscal (NIF) del usuario.
Sin embargo, el archivo adjunto es un ejecutable en formato .iso que contiene un virus troyano denominado 'GuLoader/VIPKeyLogger', diseñado para robar datos y tomar el control del dispositivo infectado.
Así te la 'cuela' el e-mail fraudulento
Esta campaña ha sido catalogada con un 'nivel de importancia alto' debido a la cantidad de personas afectadas y la sofisticación del fraude. Los delincuentes emplean la técnica de "email spoofing" o suplantación de correo electrónico, lo que permite que el mensaje parezca proceder de la FNMT (concretamente, de un dominio 'fnmt.es'), logrando así que el usuario no desconfíe de su contenido.
Los mensajes fraudulentos suelen llevar asuntos como "Disponibilidad del certificado FNMT-RCM" e incluyen instrucciones que, supuestamente, permiten descargar el certificado de identidad en formato digital.
Los correos pueden ofrecer dos opciones: descargar el certificado directamente desde un archivo adjunto o acceder a una URL incluida en el mensaje. En cualquier caso, al descargar el archivo adjunto y ejecutarlo, el dispositivo queda inmediatamente infectado.
Así se la 'cuela' a tu PC el malware
Una vez el usuario ejecuta el archivo descargado, el malware 'GuLoader/VIPKeyLogger' comienza a operar. Este software malicioso tiene múltiples funciones peligrosas:
- Robo de información personal: El malware recopila información privada del usuario, incluyendo contraseñas y datos financieros.
- Acceso remoto: Permite a los atacantes tomar el control del dispositivo infectado, facilitando el robo de datos y la posible ejecución de acciones fraudulentas desde el dispositivo de la víctima.
- Expansión de la amenaza: Si el dispositivo infectado está conectado a una red doméstica o laboral, el malware puede propagarse a otros dispositivos conectados, comprometiendo la seguridad de la red entera.
Instrucciones para las posibles víctimas
El INCIBE ha publicado recomendaciones específicas para quienes puedan haber recibido estos correos. Dependiendo de si se ha ejecutado el archivo malicioso o no, las acciones varían:
- Si no descargaste ni ejecutaste el archivo: No interactúes con el enlace ni con el archivo adjunto. Marca el correo como spam y elimínalo de la bandeja de entrada.
- Si te descargaste el archivo, pero no lo ejecutaste: Elimina el archivo de la carpeta de descargas y escanea el dispositivo con un software antivirus como medida preventiva.
- Si ejecutaste el archivo malicioso: Desconecta el dispositivo de cualquier red para evitar la propagación del malware y ejecuta un análisis exhaustivo con un antivirus... si se confirma la infección, considera la opción formatear. Es fundamental realizar copias de seguridad de manera periódica, ya que el formateo borra todos los datos almacenados.
Vía | INCIBE
Imagen | Marcos Merino mediante IA
En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas
Ver 1 comentarios