La Jefatura Superior de Policía de La Rioja, alerta de una nueva campaña de suplantación de distribución de malware que utiliza correos electrónicos fraudulentos haciéndose pasar por la Fábrica Nacional de Moneda y Timbre (FNMT). Estos mensajes engañosos informan a los destinatarios que pueden descargar un archivo adjunto que supuestamente contiene su identificación y certificado de NIF. En realidad, el archivo es un ejecutable disfrazado de un archivo.iso, que alberga código malicioso destinado a infectar el dispositivo del usuario.
Se ha detectado una campaña de phishing con el fin de distribuir un stealer, conocido como 'GuLoader/Agent Tesla' para obtener información personal, suplantando a la Fábrica Nacional de Moneda y Timbre (FNMT) y a la Agencia Tributaria (AEAT).
Se ha detectado una campaña de distribución de malware mediante phishing, que suplanta a la Fábrica Nacional de Moneda y Timbre (FNMT). El correo electrónico fraudulento informa al destinatario que puede descargar un archivo adjunto con su identificación y certificado de su NIF.
Sin embargo, este archivo contiene en realidad un ejecutable que aparenta ser un archivo .iso, pero en realidad es un archivo ejecutable que contiene código malicioso. Los correos fraudulentos notifican a los usuarios que pueden descargar su certificado de NIF ya sea desde un archivo adjunto o a través de un enlace a una URL incluida en el mensaje.
Un ejemplo del asunto utilizado en estos correos es 'Disponibilidad del certificado FNMT-RCM', aunque es posible que utilicen otros asuntos diferentes. El remitente intenta aparentar legitimidad al simular la dirección de la FNMT (fnmt.es), empleando una técnica conocida como email spoofing.
El objetivo de los ciberdelincuentes es que la persona que reciba el email descargue el supuesto certificado, y una vez lo haya descargado, lo ejecute y de esa manera active el malware que contiene provocando la infección de su dispositivo. Al pulsar sobre el archivo adjunto, este se descargará a la carpeta configurada por defecto que normalmente suele ser la carpeta de 'Descargas'.
Una vez descargado, si este se ejecuta, el dispositivo quedaría infectado por el malware 'GuLoader/VIPKeyLogger' que tiene el objetivo de tomar el control del dispositivo infectado, robar información personal de la víctima y utilizar esta para cometer otro tipo de fraudes. Si comprobamos ese archivo .iso en VirusTotal, podemos observar que se trata de un virus troyano.