Se ha detectado una campaña de distribución de malware a través del envío masivo de correos electrónicos fraudulentos (phishing).
En estos correos, se suplanta la identidad de FNMT con el objetivo de que el usuario ejecute un código malicioso conocido como ‘GuLoader/VIPKeyLogger’ e infecte su dispositivo. Este tipo de malware se utiliza para tomar el control del dispositivo y recopilar información para cometer fraudes y robos de identidad.
El mensaje del correo informa al usuario que tiene disponible la identificación y certificado de su NIF de manera adjunta en dicho correo para poder descargarla y disponer de ella de inmediato, o si lo desea también puede acceder a la URL que se proporciona y descargarla desde ese sitio web.
El objetivo de los ciberdelincuentes es que la persona que reciba el email descargue el supuesto certificado, y una vez lo haya descargado, lo ejecute y de esa manera active el malware que contiene provocando la infección de su dispositivo.
A continuación, se presenta un ejemplo de un correo electrónico fraudulento que se ha recibido en el contexto de esta campaña de phishing mencionada:
El asunto que se ha detectado que utilizan es ‘Disponibilidad del certificado FNMT-RCM’ pero no se descarta que puedan utilizar otros distintos.
El remitente del correo simula ser el legitimo de la Fábrica Nacional de Moneda y Timbre (fnmt.es). Aunque esta técnica de ofuscación se conoce como email spoofing.
Al pulsar sobre el archivo adjunto, este se descargará a la carpeta configurada por defecto que normalmente suele ser la carpeta de ‘Descargas’. Una vez descargado, si este se ejecuta, el dispositivo quedaría infectado por el malware ‘GuLoader/VIPKeyLogger’ que tiene el objetivo de tomar el control del dispositivo infectado, robar información personal de la víctima y utilizar esta para cometer otro tipo de fraudes.
Si comprobamos ese archivo .iso en VirusTotal, podemos observar que se trata de un virus troyano.
Y en esta imagen de un análisis con Triage podemos observar la peligrosidad de este virus con un 10/10.
