Entradas

Campana renta mail malicioso

Hoy empieza la campaña de Renta 2016 y ya se han empezado a recibir correos intentando suplantar a la Agencia Tributaria. Estos correos contienen un fichero adjunto malicioso.

Detalle del falso correo

Sólo con mencionar a la Agencia Tributaria a más de uno le habrá entrado el pánico y habrá corrido a abrir el fichero adjunto al correo.

Los correos tienen el siguiente formato:

Mail renta

Correo malicioso suplantando la Agencia Tributaria

El fichero Word adjunto, contiene macros que ejecutan código malicioso. Estas macros están desactivadas, es por eso que lo primero que intentan los delincuentes es conseguir que, al abrir el fichero, los usuarios permitan la ejecución de estas macros, algo que en esta ocasión se realiza de forma bastante explícita.

Análisis

A pesar de que el documento es detectado por varias soluciones antivirus, en este caso tan sólo se encarga de descargar otro malware y éste se ejecuta en el sistema. Es una variante del conocido troyano Win32/Neurevt, que roba información confidencial del usuario (contraseñas, información sobre el sistema operativo utilizado, etc).

Conclusión

El uso de la Agencia Tributaria como gancho para intentar conseguir un mayor número de víctimas justo cuando empieza la campaña de la Renta es algo a destacar. Por este motivo recomendamos no abrir este tipo de correos, incluso si provienen de remitentes de confianza.

Además, si las macros vienen desactivadas por defecto en el documento Word adjunto, es por un buen motivo y no debemos activarlas, y así evitar que malware se ejecute.

Recomendaciones

En primer lugar, tener una buena política de Backups bien diseñada y fiable. No es nada aconsejable tener a la misma red el repositorio de backups, ya que el virus podría ser capaz de encriptar los mismos y inutilizarlos. Recomendamos realizar copias de seguridad regularmente y tenerlas fuera del edificio, ya sea mediante apoyos externos (USB, LTO) o mediante copias en la Nube.

Tener un buen antivirus actualizado y bien configurado. En Infordisa recomendamos el uso de ESET NOD32 en todos los equipos y Servidores de la red.

Si no tiene ninguna estrategia de copias, o requiere de un nuevo o actualización de su antivirus, consúltenos y le asesoraremos de la mejor manera para proteger la continuidad de su negocio.

Estos son algunos artículos que te resultaran interesantes

Mail correos virus

Cada día aparecen nuevos casos de estafas online donde se utilizan e-mails corporativos para extender archivos maliciosos que puedan llevar a cabo.

Es el caso detectado en emails bajo la identidad de la empresa de servicio postal Correos. La técnica utilizada se denomina Ransomware TorrentLocker.

¿Qué es Ransomware TorrentLocker?

Es una técnica delictiva que se basa en la suplantación de identidad de los e-mails del servicio postal español: Correos. Se lleva a cabo mediante una serie de envío masivos que se están produciendo durante esta semana.

¿Cómo funciona?

Los delincuentes utilizan unas plantillas actualizadas empleando el diseño de e-mails de la versión actual donde aparece un recibo de una carta certificada o paquete. En el mensaje se pide que se recoja el pedido, sino se cobrará una cantidad de dinero por cada día que pase. Además, se ofrece un enlace en el que supuestamente podremos descargar la información relacionada con el pedido.

Si el usuario pulsa sobre el enlace proporcionado, será redirigido a una web controlada por los delincuentes y que, supuestamente, sirve para obtener el localizador del envío.

¿Cómo se ha detectado?

Después de hacer clic en el enlace, a la nueva url no se utilizan dominios que parezcan estar relacionados con Correos.

El código de seguridad captcha no cambia.

Si el usuario introduce un código y pulsa el botón consultar, se descargará un archivo ejecutable que tiene como icono el de un archivo PDF.

En este último archivo PDF aparecerá la información sobre la cantidad a pagar por el rescate del pedido (299€) y se indicará la cantidad de archivos que han sido cifrados.

¿Como está el caso en la actualidad?

Actualmente, la página sigue estando alojada en la red Tor, pero los delincuentes utilizan un proxy para que los usuarios no tengan que instalar ningún software adicional. Los pagos se siguen realizando con bitcoins, duplicándose la cantidad a pagar si no se realiza el pago en un tiempo determinado.

¿Cómo actuar para evitar ser estafados?

Desde Infordisa se recomienda una serie de pautas para evitar este tipo de infecciones:

Por un lado, es importante alertar a conocidos y familiares de la peligrosidad de este tipo de correos electrónicos.

Aunque por otra parte, desde el punto de vista corporativo, es muy importante utilizar un antivirus actualizado y un filtro antispam capaz de reconocer mensajes de este tipo. Además, hay que aplicar políticas de entornos corporativos y herramientas especializadas que permiten bloquear la recepción, la descarga y la ejecución de cualquier archivo malicioso.

¿Quieres un antivirus potente, seguro y actualizado ante cualquier amenaza?

La empresa tecnológica Infordisa trabaja desde hace más de una década con el antivirus ESET NOD32: un antivirus rápido, efectivo y el mejor valorado por los usuarios y compañías.

NOD32-INFO

Sinecesitas más información de este antivirus competente, actualizado y rápido, nosotros te asesoraremos y te la facilitaremos.