Incibe – Distribución de malware que suplanta al Ministerio de Sanidad

Fecha de publicación:  26/10/2020 | Importancia:  4 – Alta

Recursos afectados: 

Cualquier empleado, autónomo o empresa que reciba un correo suplantando al Ministerio de Sanidad, Consumo y Bienestar Social como el descrito a continuación.

Descripción: 

Desde INCIBE se ha detectado una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar al Ministerio de Sanidad, Consumo y Bienestar Social con el fin de difundir malware.

En la campaña identificada, el correo tiene como asunto: «Urgente – Informacion CORONAVIRUS». En el mensaje se informa de los supuestos nuevos protocolos que ha dictado el Ministerio de Sanidad, Consumo y Bienestar Social con motivo de la situación actual derivada de la pandemia de COVID-19 y de la nueva declaración del estado de alarma dictada el día 25 de octubre. Dicho correo electrónico contiene un enlace en el que se invita al usuario a descargar la circular del Ministerio con las nuevas instrucciones. Una vez que el usuario ha seleccionado el enlace, este es redirigido a una página web maliciosa donde se descargará el malware.

El nombre del archivo malicioso es «rnh_Fichero_ES.zip», aunque no se descarta que los ciberdelincuentes puedan usar otras denominaciones.

Solución: 

Es importante que ante la mínima duda analices detenidamente el correo, tal y como explicamos en el artículo:

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente. Verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017. Detalle: 

En la campaña detectada, el correo electrónico trata de distribuir un tipo de malware, denominado como Trojan Downloader o Dropper. Este tipo de malware está diseñado para tomar el control del equipo infectado.

Una vez el malware tiene bajo control el dispositivo infectado, el ciberdelincuente podría realizar otras acciones que pueden poner en riesgo la información alojada en el dispositivo, así como ser infectado por otro tipo de software malicioso específico para lograr sus objetivos como por ejemplo, ransomware o una botnet.

Para ello, los ciberdelicuentes hacen uso de la técnica de email spoofing, con la cual simulan que el remitente del correo electrónico es el propio Ministerio de Sanidad, Consumo y Bienestar Social cuando en realidad no es así. El mensaje que suplanta a dicho autoridad es el siguiente:

Aviso 26/10/2020 - Correo electrónico malware Ministerio de Sanidad

Como se puede observar en la imagen, el cuerpo del mensaje contiene múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que un organismo público nunca cometería.

Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «rnh_Fichero_ES.zip», como puede observarse en la siguiente imagen:

Captura descarga archivo comprimido con malware

El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.


Enlace de referencia: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/distribucion-malware-suplanta-al-ministerio-sanidad

CATEGORÍAS: Alerta, Incibe, Malware