Spam suplanta dominio de la Guardia Civil para propagar malware
Obviando la fama que puedan tener entre los ciudadanos españoles los agentes de los cuerpos y fuerzas de seguridad del estado, cualquier usuario que reciba un email remitido desde el dominio guardiacivil.gob.es, es más que probable que se asuste pensando en alguna multa de tráfico o citación judicial. De este temor parece que se han aprovechado los creadores de una reciente campaña de propagación de malware usando enlaces maliciosos contenidos en correos electrónicos.
La técnica usada no presenta ninguna novedad con respecto a otras usadas con anterioridad. Se nos envía un correo (bastante mal redactado, todo sea dicho) simulando ser una notificación de la Guardia Civil, instándonos a descargar un archivo desde un enlace proporcionado en el propio correo. Posiblemente, este correo hubiese pasado bastante desapercibido si no fuese por el remitente, suplantado usando técnicas de spoofing para hacer creer a los usuarios que este email proviene de alguien de confianza.
Ante el temor de que este archivo que se nos invita a descargar sea alguna denuncia o multa, es más que probable que muchos usuarios piquen en el anzuelo. No obstante, cuando procedemos a realizar la descarga aparecen pistas que nos pueden hacer pensar que, tal vez, el correo no venga de quien dice ser. Si nos fijamos en la dirección desde la cual se descarga el archivo, comprobaremos que no tiene nada que ver con el dominio de la Guardia Civil. Además, el archivo que se descarga es un ejecutable en lugar de un documento en formato .doc, .pdf o similar. Esto no quiere decir que estos otros tipos de archivos no puedan contener malware, pero es lógico pensar que un archivo .exe poca relación tiene con un documento.
Si optamos por descargar el archivo y lo ejecutamos, nuestro sistema quedará infectado con un código malicioso que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Una vez nuestro sistema esté infectado con este malware, procederá a descargarse más archivos maliciosos sin nuestro conocimiento además de robar información sensible de nuestro sistema como usuarios y contraseñas o direcciones de correo electrónico.
A pesar de que la técnica usada para propagarse no es nada novedosa, el uso de un remitente de confianza sigue siendo útil para engañar a los usuarios. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos desconfiar siempre de este tipo de correos y revisar con atención cualquier aspecto sospechoso del mismo (enlaces que no se correspondan al dominio del remitente, descarga de archivos de extensión diferente a la que nos esperamos, etc.). Asimismo, contar con un antivirus actualizado, puede evitar que nos infectemos si pulsamos sobre el enlace malicioso.
Josep Albors
Related Posts
-
Okrum: el malware del grupo Ke3chang con misiones diplomáticas entre sus objetivos
-
“Verify your account”: robo de cuentas de correo dirigido a empresas
-
ESET sigue el rastro de Emotet, la famosa botnet dirigida principalmente a Japón y el sur de Europa
-
¿Son las listas blancas tan efectivas como parecen?
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.
Comentar
Lo siento, debes estar conectado para publicar un comentario.