Scroll to read more

Se ha detectado una campa√Īa de correos maliciosos en la cual se distribuye un¬†malware¬†de tipo troyano suplantando a la entidad bancaria. En este caso se tiene constancia de suplantaciones a trav√©s de¬†phishing¬†al BBVA y al Banco Santander. Los correos se identifican con el asunto ‚ÄėConfirming ‚Äď Aviso de pago‚Äô o ‚ÄėBBVA-Confirming Facturas Pagadas al Vencimiento‚Äô, entre otros.

Recursos afectados

Cualquier usuario que haya recibido el correo malicioso, haya descargado el fichero comprimido y por √ļltimo, haya ejecutado e instalado en su dispositivo.

Solución

Si has recibido un correo con las características mencionadas anteriormente, pero no has descargado el archivo adjunto, márcalo como spam y elimínalo de tu bandeja de correos.

En caso de haber descargado dicho archivo adjunto, pero no haberlo ejecutado, elimínalo de tu carpeta predefinida de descargas y ejecuta tu antivirus para comprobar que tus dispositivos no están infectados.

En caso de que quieras verificar si el contenido de este archivo es malware, puedes hacerlo a través de páginas como VirusTotal, en la cual puedes analizar si un archivo o URL es maliciosa.

En el caso de que hayas hecho todos los pasos anteriores y adem√°s hayas ejecutado el archivo malicioso en tu dispositivo, es posible que este haya sido infectado. Por ello te sugerimos que sigas las siguientes pautas:

  • Desactiva la conexi√≥n a Internet del dispositivo afectado, de este modo, la amenaza no podr√° propagarse a otros dispositivos que est√©n conectados en la misma Red.
  • Realiza un an√°lisis con un antivirus actualizado en el dispositivo afectado, para que as√≠, pueda realizar una¬†desinfecci√≥n.
  • En el caso de haber seguido las anteriores pautas y que dicho dispositivo se encuentre todav√≠a infectado, se recomienda que este se formatee a los valores de f√°brica. Esto originar√° un borrado de todos los datos del dispositivo que contenga hasta el momento, por tanto, te recomendamos realizar una copia de¬†copias de seguridad¬†para mantener la informaci√≥n que te resulte relevante, importante o de inter√©s.

En el caso de que se detecte una filtración de información o acceso no permitido a datos sensibles:

  • Recoge las evidencias (capturas del email, del archivo, etc.).
  • En los meses siguientes al suceso, recurre al¬†egosurfing¬†para comprobar que tus datos no est√©n expuestos en las redes, y recurre al¬†derecho al olvido¬†si necesitas que se eliminen datos privados o sensibles de tu persona.
  • Usa las herramientas de¬†testigos online¬†para verificar el contenido de dominios p√ļblicos y correos en el momento que lo vayas a enviar.
  • Por √ļltimo, denuncia ante las¬†Fuerzas y Cuerpos de Seguridad del Estado. Recuerda presentar todas las evidencias para as√≠ facilitar la investigaci√≥n.

Otras recomendaciones:

  • Siempre que recibas un correo de estas caracter√≠sticas, confirma con tu entidad bancaria su veracidad. Las entidades bancarias suelen tener un √°rea de contacto en el que proporcionan, tanto direcciones de correo electr√≥nico, como un n√ļmero de atenci√≥n al cliente o incluso desde la propia aplicaci√≥n del banco puedes contactar con tu agente. Tambi√©n, puedes encontrar en sus p√°ginas web informaci√≥n sobre los fraudes m√°s recurrentes:
    • Atenci√≥n al cliente de¬†BBVA¬†y secci√≥n de ‚Äė√ļltima hora‚Äô.
    • Atenci√≥n al cliente del¬†Banco Santander¬†y secci√≥n ‚ÄėAprende seguridad online‚Äô.
  • No olvides que las entidades bancarias nunca notificar√°n este tipo de incidentes a trav√©s de un correo electr√≥nico de estas caracter√≠sticas.
  • No interact√ļes con enlaces desconocidos, de dudosa procedencia o que no est√©s seguro de su remitente, procedentes tanto de un SMS o correo.
  • Procura evitar descargar ficheros de p√°ginas o correos de las cuales dudes o desconozcas su veracidad.
  • No olvides mantener tus dispositivos¬†actualizados¬†con la versi√≥n m√°s reciente, tanto del sistema operativo como de los navegadores web que utilices.

Detalles

En la campa√Īa comentada anteriormente, se suplanta la identidad de entidades bancarias, como Santander y BBVA, a trav√©s de correos electr√≥nicos maliciosos. En ellos, vienen adjuntos archivos que supuestamente son la factura de un pago o una liquidaci√≥n de este.

A continuación, se mostrarán ejemplos de este fraude:

Banco Santander

En el correo, supuestamente del Banco Santander, se puede observar que con el asunto ‚ÄúConfirmaci√≥n – Aviso de pago‚ÄĚ se intenta llamar la atenci√≥n de la v√≠ctima.

En el cuerpo del correo se informa, que se adjunta una carta de liquidación de un pago, la cual es un archivo malicioso. Para conseguir la confianza del usuario, proporciona consejos de seguridad online, por medio de un enlace.

La direcci√≥n de correo simula una cuenta oficial del Grupo Santander con el usuario ‚Äúfycout@gruposantander.es‚ÄĚ. Esta t√©cnica de ingenier√≠a social se conoce como¬†email spoofing.

Este correo no parece contener faltas ortogr√°ficas que lo delaten, en cambio, carece de logotipos de la entidad y el formato del correo es muy simple.

Adjunto al correo, viene el archivo comprimido con la supuesta carta de liquidación financiero, la cual se incita a revisar para comprobar los datos de esta.

Al descomprimir el archivo, el nombre del ejecutable (.exe) suele ser una sucesi√≥n de n√ļmeros y letras como ‚Äú210909836-042205-sanlccjavap0003-3991.exe‚ÄĚ.

Al comprobar dicho archivo con herramientas como VirusTotal de detección de malware y URL maliciosas, analiza el archivo y detecta que es un malware de tipo troyano.

BBVA

En el siguiente correo podremos observar un método similar al utilizado anteriormente. En este caso, el correo supuestamente procede del BBVA.

En este correo, se proporciona el asunto ‚ÄúBBVA-Confirming Facturas Pagadas al Vencimiento‚ÄĚ y procede de una cuenta simulando formar parte del BBVA¬†confirming.bbva_bbva@accitraf.com. El formato de esta direcci√≥n de correo es muy diferente a la utilizada por la entidad bancaria. El dominio no tiene ninguna relaci√≥n con el BBVA, lo que puede darnos una pista para identificar que no es ver√≠dico.

A trav√©s del correo se adjunta informaci√≥n relativa a ‚Äúfacturas pagadas al vencimiento‚ÄĚ adjuntando un archivo comprimido, el cual supuestamente contiene dicha factura.

Este correo tampoco parece contener faltas ortogr√°ficas que lo delaten, y al igual que en el caso anterior, carece de logotipos de la entidad y el formato del correo es muy simple.

En este email también se pretende ganar la confianza del usuario por medio de consejos de seguridad, como recordar qué datos no se deben proporcionar por medio de correo electrónico, además de utilizar avisos formales habituales en entidades en las que se habla de la privacidad y confidencialidad de los datos adjuntos.

Una vez descargado el archivo malicioso y descomprimido, se puede observar un nombre como ‚ÄúFacturasPagadasalVencimiento.PDF.vbs‚ÄĚ. A primera vista, se puede confundir con un archivo PDF, pero realmente es un script (c√≥digo) de Visual Basic (herramienta de c√≥digo).

Si se comprueba en herramientas como VirusTotal de detección de malware y URL maliciosas, y se analiza el archivo, detectará que es un malware de tipo troyano.

Fuente : Oficina de Seguridad del Internauta