La Policía advierte de una campaña de estafas que suplanta a la Fábrica Nacional de Moneda y Timbre
La Jefatura Superior de Policía de La Rioja alerta de una nueva campaña de suplantación de distribución de malware que utiliza correos electrónicos fraudulentos haciéndose pasar por la Fábrica Nacional de Moneda y Timbre (FNMT). Estos mensajes engañosos informan a los destinatarios que pueden descargar un archivo adjunto que supuestamente contiene su identificación y certificado de NIF. En realidad, el archivo es un ejecutable disfrazado de un archivo .iso, que alberga código malicioso destinado a infectar el dispositivo del usuario.
Se ha detectado una campaña de phishing con el fin de distribuir un stealer, conocido como ‘GuLoader/Agent Tesla’ para obtener información personal, suplantando a la Fábrica Nacional de Moneda y Timbre (FNMT) y a la Agencia Tributaria (AEAT).
Modus Operandi
La campaña consistete en la distribución de malware mediante phishing, que suplanta a la Fábrica Nacional de Moneda y Timbre (FNMT). El correo electrónico fraudulento informa al destinatario que puede descargar un archivo adjunto con su identificación y certificado de su NIF. Sin embargo, este archivo contiene en realidad un ejecutable que aparenta ser un archivo .iso, pero en realidad es un archivo ejecutable que contiene código malicioso.
Los correos fraudulentos notifican a los usuarios que pueden descargar su certificado de NIF ya sea desde un archivo adjunto o a través de un enlace a una URL incluida en el mensaje. Un ejemplo del asunto utilizado en estos correos es “Disponibilidad del certificado FNMT-RCM”, aunque es posible que utilicen otros asuntos diferentes. El remitente intenta aparentar legitimidad al simular la dirección de la FNMT (fnmt.es), empleando una técnica conocida como email spoofing.
El objetivo de los ciberdelincuentes es que la persona que reciba el email descargue el supuesto certificado, y una vez lo haya descargado, lo ejecute y de esa manera active el malware que contiene provocando la infección de su dispositivo.
Al pulsar sobre el archivo adjunto, este se descargará a la carpeta configurada por defecto que normalmente suele ser la carpeta de ‘Descargas’. Una vez descargado, si este se ejecuta, el dispositivo quedaría infectado por el malware ‘GuLoader/VIPKeyLogger’ que tiene el objetivo de tomar el control del dispositivo infectado, robar información personal de la víctima y utilizar esta para cometer otro tipo de fraudes. Si comprobamos ese archivo .iso en VirusTotal, podemos observar que se trata de un virus troyano.
Recomendaciones
Si has recibido un correo electrónico con las características mencionadas, pero no te has descargado el archivo adjunto, márcalo como spam y elimínalo de tu bandeja de entrada.
En caso de que hayas descargado el archivo que acompaña a este correo, pero no lo has ejecutado, dirígete a tu carpeta de descargas y elimínalo. Posteriormente, bórralo de la papelera de reciclaje.
Si por algún motivo has llegado a descargar el archivo y lo has ejecutado para proceder con las indicaciones del correo, se deben realizar los siguientes pasos:
- Desconecta el dispositivo que has utilizado para hacer la descarga de la red de tu casa, y de esta manera evitar que se propague a otros dispositivos.
- Cambiar la contraseña, hacer uso de doble factor de autenticación (2FA) y cerrar sesiones existentes.
- Utiliza el antivirus que tengas instalado en tu sistema para realizar un análisis completo del equipo, y así poder eliminar cualquier amenaza si fuera posible.
- Si crees que el dispositivo pudiese seguir infectado, puedes plantearte la opción de formatear el equipo o restablecer los valores de fábrica para desinfectarlo, recomendamos hacer copias de seguridad periódicas para poder restaurar esos archivos antes de haber sido infectados.
0