Inicio / Blog / Falsa notificación de la Policía circula a través del correo electrónico

Falsa notificación de la Policía circula a través del correo electrónico

Publicado el 07/05/2013, por INCIBE
Falsa notificación de la Policía circula a través del correo electrónico

Durante la semana pasada nos hicimos eco de un nuevo caso de suplantación de identidad a través del correo electrónico. A diferencia del clásico phishing, en donde se intenta usurpar entidades bancarias, esta vez los cibercriminales utilizaron la Policía Nacional como cebo para intentar infectar a las víctimas.

Los atacantes utilizan la ingeniería social para hacer que los usuarios descarguen una supuesta notificación sobre un procedimiento antidrogas de la Policía Nacional. Los correos utilizan como remitente las cuentas "policia[@]policia.es" ó "andres[@]colormovil.es" y presentan un aspecto similar al siguiente:

En el cuerpo del correo puede verse un enlace a la supuesta notificación (NOTIFICACIÓN-MPF.SCR), sin embargo, cuando el usuario hace clic en el enlace se le redirige a una nueva página (http://***************/avisos/comunicacion/policia/es/processo291882932013.asp), la cuál a su vez, tal y como podemos ver en la siguiente captura, hace una nueva redirección (windows.location.href) a alguna de las URLs declaradas en el array sites para descargar un fichero denominado policia.zip:

Algunas de las URL que contienen este fichero se corresponden a WordPress de terceros que han sido vulnerados para subir dicho malware dentro del recurso /wp-content/uploads/ tal y como se muestra a continuación:

  • 200-http://************/es/policia.zip
  • 200-http://************/images/policia.zip
  • 406-http://************/wp-content/uploads/policia.zip
  • 200-http://************/wp-content/uploads/policia.zip
  • 200-http://************/wp-content/uploads/policia.zip
  • 404-http://************/osCommerce/images/policia.zip
  • 200-http://************/images/policia.zip
  • 404-http://************/oscommerce/images/policia.zip
  • 404-http://************/wp-content/uploads/policia.zip
  • 404-http://************/images/policia.zip

Para poder infectarse, el usuario tiene que aceptar la descarga, descomprimir y ejecutar el binario policia.cpl. En los diversos zip analizados se han encontrado un total de 3 binarios diferentes correspondientes a diversas versiones del malware utilizado para infectar a las víctimas.

Como se puede observar en los análisis de dichas muestras desde VirusTotal su tasa de detección oscila entre los 20 y 30 detecciones del total de motores AV.

Los paneles de control utilizados por el malware presentan un aspecto simplista mostrando únicamente las IP y nombres de los equipos comprometidos sin proporcionar funcionalidades avanzadas:

A pesar de no ser una amenaza sofisticada (debido principalmente a su vía de infección la cual requiere interacción por parte del usuario, su tasa de detección y sus capacidades técnicas), debemos de seguir de igual forma las siguientes recomendaciones para evitar ser víctima de este tipo de fraudes:

  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces facilitados desde un correo aunque sean de contactos conocidos o terceras partes de confianza.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos
Etiquetas: