Se ha detectado una nueva campaña de correos electrónicos suplantando la identidad de diferentes empresas y organismos oficiales, como WeTransfer, WhatsApp , Vodafone o el Ministerio de Trabajo y el Ministerio del Interior, cuyos mensajes contienen enlaces que descargan un troyano en el dispositivo. El mensaje que contiene los diferentes correos instan al usuario a pulsar sobre un enlace utilizando distintos argumentos.

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico de estas características, haya pulsado sobre el enlace para consultar los supuestos archivos, como puede ser el histórico de mensajes y llamadas de WhatsApp, y posteriormente ejecutado el archivo que se descarga.

Solución

Si no has ejecutado el archivo descargado, posiblemente tu dispositivo no se habrá infectado. Lo único que debes hacer es eliminar el archivo que encontrarás en la carpeta de descargas. También deberás enviar a la papelera el correo que has recibido. 

Si has descargado y ejecutado el archivo malicioso, es posible que tu dispositivo se haya infectado. Para proteger tu equip,o debes escanearlo con un antivirus actualizado o seguir los pasos que encontrarás en desinfección de dispositivos. Si necesitas soporte o asistencia para la eliminación del malware, INCIBE te ofrece su servicio de respuesta y soporte ante incidentes de seguridad.

Te recordamos que en caso de duda sobre la legitimidad de un correo, no debes pulsar sobre ningún enlace, ni descargar ningún archivo adjunto. Para comprobar la veracidad, puedes ponerte en contacto con la empresa o el servicio que supuestamente te ha enviado el correo, siempre a través de sus canales oficiales de atención al cliente.

Además, para mayor seguridad, es recomendable realizar copias de seguridad de manera periódica con toda la información que consideres importante para que, en caso de que tu equipo se vea afectado por algún incidente de seguridad, no la pierdas. También es recomendable mantener tus dispositivos actualizados y protegidos siempre con un antivirus.

Finalmente, aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con la siguiente infografía que ponemos a tu disposición: 'Cómo identificar un correo electrónico malicioso'.

Detalles

Se han detectado varias campañas de correos electrónicos suplantando a empresas como WeTransfer,WhatsApp, Vodafone y otros organismos oficiales como el Ministerio de Trabajo . Para provocar el interés del usuario se identifican con los los siguientes asuntos: ‘Copia de seguridad de mensajes de WhatsApp *913071605 Nº (xxxxx)’, ‘te envió algunos archivos - Nº (xxxxx)’ y ‘Mi Vodafone - xxx@xxx.xxxxx.es , cliente de vodafone tu factura esta vencida paga ahora y evita una multa ID- 26196’ y ´Fwd: Urgente Proceso de trabajo Extrajudicial Nº (618869)´  y ‘AVISO – Reclamación electrónica’, aunque no se descarta que existan otros correos con asuntos diferentes, pero con el mismo objetivo, como incitar al usuario a descargar un fichero malicioso bajo algún pretexto de su interés.

Los mensajes se caracterizan por:

  • La redacción del mensaje no contiene incoherencias, ni numerosas faltas de ortografía, lo que dificulta su identificación como fraudulento.
  • La fecha de emisión que aparece en la parte inferior suele ser muy próxima al día en que se recibe el correo electrónico, o incluso del mismo día. Aunque también podría aparecer desfasada.
  • La dirección del remitente podría simular pertenecer a la propia empresa, ya que este campo es bastante sencillo de falsificar. Aunque en este caso, la dirección del remitente que aparece en el correo que suplanta a WeTransfer, no tiene ningún tipo de relación con el servicio.

Ejemplo 1:

Correo WeTransfer

Ejemplo 2:

 

Correo WhatsApp

Actualización 22/03/2021

Ejemplo 3:

Correo falso Vodafone factura

Actualización 25/03/2021

Ejemplo 4:

Correo falso Ministerio de trabajo

Ejemplo 5:

Correo falso Anuncio

 

Si se pulsa sobre los enlaces, se descargará automáticamente desde el navegador web en el dispositivo un archivo .zip que contiene el troyano y que, de ejecturse, se infectará el dispositivo. 

 

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de Twitter @osiseguridad y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad dirigidos a ciudadanos. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.