Si recibes este aviso de Correos, cuidado: alertan de un ataque masivo para robar tu dinero

Así lo ha detectado el Instituto Nacional de Ciberseguridad, que califica esta estafa de “importancia alta”

Si recibes este aviso de Correos, cuidado
Si recibes este aviso de Correos, cuidado

En un momento en el que las compras online se han disparado, los hackers han encontrado un nuevo nicho para perpetrar sus ataques. De hecho, el último de ellos tiene a Correos como principal víctima. Así lo ha alertado el Instituto Nacional de Ciberseguridad (INCIBE), que ha detectado una campaña de envío de mensajes fraudulentos que intentan suplantar a este servicio.

El correo electrónico tiene como asunto la siguiente estructura: Orden Devuelta - [id (números aleatorios)]. En él, se informa de que se ha tratado de entregar un supuesto paquete, pero que ha resultado imposible realizarlo, y por ello, se invita al usuario a que reprograme el envío en el plazo de tres días a una nueva dirección, previo pago de 3,40 euros. Para ello, adjuntan un enlace que simula ser del área de clientes de Correos y, una vez que el usuario ha pinchado sobre él, es redirigido a una web maliciosa donde se descargará el malware.

El nombres del archivo malicioso es: CORREOS_000000_XXX.zip. De tal modo que, cada vez que se descarga, adopta un nombre aleatorio, aunque sigue el mismo patrón: CORREOS_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias.

“En la campaña detectada, el correo electrónico trata de distribuir un tipo de malware, identificado como Trojan Downloader o Dropper, diseñado especialmente para tomar el control del equipo de la víctima”, explican desde INCIBE. “Una vez el malware tiene bajo control el dispositivo afectado, el ciberdelincuente podría robar datos personales o infectar nuevamente el equipo con otros tipos de software malicioso específicos para lograr sus objetivos”. Los ciberdelicuentes hacen uso de la técnica de email spoofing, con la cual simulan que el remitente del correo electrónico es Correos, cuando en realidad no es así. El mensaje que suplanta a la empresa postal es el siguiente:

Así es el mensaje que suplanta a Correos
Así es el mensaje que suplanta a CorreosINCIBEArchivo

Algo que puede poner en aviso al usuario es que el mensaje presenta alguna que otra errata gramatical y ortográfica. “Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso: CORREOS_189329_VLM.zip”, continúa INCIBE. Tal y como puede observarse en la siguiente imagen: este es el archivo que contiene el malware.

Este es el archivo que contiene el malware
Este es el archivo que contiene el malwareINCIBEArchivo