{"id":11629,"date":"2024-10-24T10:35:52","date_gmt":"2024-10-24T10:35:52","guid":{"rendered":"https:\/\/aiglesias.com\/?p=11629"},"modified":"2024-10-24T10:35:52","modified_gmt":"2024-10-24T10:35:52","slug":"distribucion-de-malware-mediante-la-suplantacion-de-la-fabrica-nacional-de-moneda-y-timbre-simulando-el-envio-de-tu-certificado-digital","status":"publish","type":"post","link":"https:\/\/aiglesias.com\/?p=11629","title":{"rendered":"Distribuci\u00f3n de malware mediante la suplantaci\u00f3n de la F\u00e1brica Nacional de Moneda y Timbre simulando el env\u00edo de tu certificado digital"},"content":{"rendered":"<div id=\"attachment_11631\" style=\"width: 301px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-11631\" class=\"size-full wp-image-11631\" src=\"https:\/\/aiglesias.com\/wp-content\/uploads\/2024\/10\/logo_incibe.jpg\" alt=\"Incibe\" width=\"291\" height=\"85\" \/><p id=\"caption-attachment-11631\" class=\"wp-caption-text\">Logo Incibe<\/p><\/div>\n<p>Nota informativa<\/p>\n<div class=\"clearfix text-formatted field field--name-field-recursos-afectados field--type-text-with-summary field--label-above\">\n<div class=\"field__label\"><strong>Recursos Afectados<\/strong><\/div>\n<div class=\"field__item\">\n<p>Cualquier persona que haya recibido el correo electr\u00f3nico descrito en el apartado anterior y haya ejecutado el archivo adjunto.<\/p>\n<\/div>\n<\/div>\n<div class=\"clearfix text-formatted field field--name-body field--type-text-with-summary field--label-above\">\n<div class=\"field__label\"><strong>Descripci\u00f3n<\/strong><\/div>\n<div class=\"field__item\">\n<p>Se ha detectado una campa\u00f1a de distribuci\u00f3n de\u00a0<em>malware<\/em>\u00a0mediante\u00a0<em>phishing<\/em>, que suplanta a la F\u00e1brica Nacional de Moneda y Timbre (FNMT). El correo electr\u00f3nico fraudulento informa al destinatario que puede descargar un archivo adjunto con su identificaci\u00f3n y certificado de su NIF. Sin embargo, este archivo contiene en realidad un ejecutable que aparenta ser un archivo .iso, pero en realidad es un archivo ejecutable que contiene c\u00f3digo malicioso.<\/p>\n<p>&nbsp;<\/p>\n<\/div>\n<\/div>\n<p><!--more--><\/p>\n<div class=\"clearfix text-formatted field field--name-field-solucion field--type-text-with-summary field--label-above\">\n<div class=\"field__label\"><strong>Soluci\u00f3n<\/strong><\/div>\n<div class=\"field__item\">\n<p>Si has recibido un correo electr\u00f3nico con las caracter\u00edsticas mencionadas, pero no te has descargado el archivo adjunto, m\u00e1rcalo como\u00a0<em>spam<\/em>\u00a0y elim\u00ednalo de tu bandeja de entrada.<\/p>\n<p>En caso de que hayas descargado el archivo que acompa\u00f1a a este correo, pero no lo has ejecutado, dir\u00edgete a tu carpeta de descargas y elim\u00ednalo. Posteriormente, b\u00f3rralo de la papelera de reciclaje.<\/p>\n<p>Si por el contrario, has ejecutado el archivo, tu dispositivo puede estar infectado. Por ello, es importante que sigas las siguientes recomendaciones:<\/p>\n<ul>\n<li>Para evitar que el\u00a0<em>malware<\/em>\u00a0pueda propagarse a otros dispositivos de tu red dom\u00e9stica, desconecta el equipo que haya podido verse infectado.<\/li>\n<li>Emplea un\u00a0<a title=\"El antivirus | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/tematicas\/configuraciones-dispositivos\/antivirus\" target=\"_blank\" rel=\"noopener\">antivirus<\/a>\u00a0para realizar un an\u00e1lisis exhaustivo de tu dispositivo en busca del\u00a0<em>malware<\/em>. Si sigue infectado, considera formatearlo o restablecerlo de f\u00e1brica para\u00a0<a title=\"Desinfecta tus dispositivos | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/ayuda\/desinfeccion\" target=\"_blank\" rel=\"noopener\">desinfectarlo<\/a>\u00a0por completo. Este proceso eliminar\u00e1 tambi\u00e9n toda la informaci\u00f3n almacenada en el dispositivo, por lo que es aconsejable realizar\u00a0<a title=\"Copias de seguridad | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/tematicas\/copias-seguridad\" target=\"_blank\" rel=\"noopener\">copias de seguridad<\/a>\u00a0de forma peri\u00f3dica.<\/li>\n<li>Recopila todas las evidencias que te sea posible durante el proceso, como capturas de pantalla, asuntos del correo electr\u00f3nico y dem\u00e1s informaci\u00f3n que creas relevante para interponer una denuncia ante las\u00a0<a title=\"Reporte de fraude | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/ayuda\/reporte-de-fraude\" target=\"_blank\" rel=\"noopener\">Fuerzas y Cuerpos de Seguridad del Estado<\/a>. Adem\u00e1s, puedes contar con\u00a0<a title=\"\u2018Testigos online\u2019 y obtenci\u00f3n de pruebas. Te explicamos su utilidad | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/blog\/testigos-online-y-obtencion-de-pruebas-te-explicamos-su-utilidad\" target=\"_blank\" rel=\"noopener\">testigos\u00a0<em>online<\/em><\/a>\u00a0para reunir estas pruebas y verificar su contenido.<\/li>\n<\/ul>\n<p>Para evitar este tipo de\u00a0<a title=\"Gu\u00eda de ciberataques | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/formacion\/guias\/guia-de-ciberataques\" target=\"_blank\" rel=\"noopener\">ciberataques<\/a>\u00a0y\u00a0<a title=\"Virus y otras amenazas | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/tematicas\/virus-amenazas\" target=\"_blank\" rel=\"noopener\">otras posibles amenazas<\/a>\u00a0sigue nuestras pautas y recomendaciones.<\/p>\n<\/div>\n<\/div>\n<div class=\"clearfix text-formatted field field--name-field-detalle field--type-text-with-summary field--label-above\">\n<div class=\"field__label\"><strong>Detalle<\/strong><\/div>\n<div class=\"field__item\">\n<p>Se ha detectado una campa\u00f1a de distribuci\u00f3n de\u00a0<em>malware<\/em>\u00a0a trav\u00e9s del env\u00edo masivo de correos electr\u00f3nicos fraudulentos (<em>phishing<\/em>). En estos correos, se suplanta la identidad de FNMT con el objetivo de que el usuario ejecute un c\u00f3digo malicioso conocido como \u2018GuLoader\/VIPKeyLogger\u2019 e infecte su dispositivo. Este tipo de\u00a0<em>malware<\/em>\u00a0se utiliza para tomar el control del dispositivo y recopilar informaci\u00f3n para cometer fraudes y robos de identidad.<\/p>\n<p>El mensaje del correo informa al usuario que tiene disponible la identificaci\u00f3n y certificado de su NIF de manera adjunta en dicho correo para poder descargarla y disponer de ella de inmediato, o si lo desea tambi\u00e9n puede acceder a la URL que se proporciona y descargarla desde ese sitio web.<\/p>\n<p>El objetivo de los ciberdelincuentes es que la persona que reciba el email descargue el supuesto certificado, y una vez lo haya descargado, lo ejecute y de esa manera active el\u00a0<em>malware<\/em>\u00a0que contiene provocando la infecci\u00f3n de su dispositivo.<\/p>\n<p>A continuaci\u00f3n, se presenta un ejemplo de un correo electr\u00f3nico fraudulento que se ha recibido en el contexto de esta campa\u00f1a de\u00a0<em>phishing<\/em>\u00a0mencionada:<\/p>\n<p>El asunto que se ha detectado que utilizan es \u2018<em>Disponibilidad del certificado FNMT-RCM<\/em>\u2019 pero no se descarta que puedan utilizar otros distintos.<\/p>\n<p>El remitente del correo simula ser el legitimo de la F\u00e1brica Nacional de Moneda y Timbre (fnmt.es). Aunque esta t\u00e9cnica de ofuscaci\u00f3n se conoce como\u00a0<a title=\"Email spoofing: comprueba qui\u00e9n te env\u00eda un correo sospechoso | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/blog\/email-spoofing-comprueba-quien-te-envia-un-correo-sospechoso\" target=\"_blank\" rel=\"noopener\"><em>email spoofing<\/em><\/a><\/p>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" class=\"align-center\" src=\"https:\/\/www.incibe.es\/sites\/default\/files\/Avisos\/ciu\/20241023_fnmt\/FNMT1.png\" alt=\"La imagen representa un presunto correo electr\u00f3nico enviado por la F\u00e1brica Nacional de Moneda y Timbre (FNMT) donde se indica que ya tiene disponible para descargar su identificaci\u00f3n y el certificado de su NIF.\" \/><\/p>\n<p>Al pulsar sobre el archivo adjunto, este se descargar\u00e1 a la carpeta configurada por defecto que normalmente suele ser la carpeta de \u2018Descargas\u2019. Una vez descargado, si este se ejecuta, el dispositivo quedar\u00eda infectado por el\u00a0<em>malware<\/em>\u00a0\u2018GuLoader\/VIPKeyLogger\u2019 que tiene el objetivo de tomar el control del dispositivo infectado, robar informaci\u00f3n personal de la v\u00edctima y utilizar esta para cometer otro tipo de fraudes.<\/p>\n<p>Si comprobamos ese archivo .iso en VirusTotal, podemos observar que se trata de un virus troyano.<\/p>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" class=\"align-center\" src=\"https:\/\/www.incibe.es\/sites\/default\/files\/Avisos\/ciu\/20241023_fnmt\/FNMT2.png\" alt=\"La imagen representa un an\u00e1lisis del supuesto certificado que se adjunta en el correo realizado por VirusTotal en el que se aprecia que es un virus troyano.\" \/><\/p>\n<p>Y en esta imagen de un an\u00e1lisis con Triage podemos observar la peligrosidad de este virus con un 10\/10.<\/p>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" class=\"align-center\" src=\"https:\/\/www.incibe.es\/sites\/default\/files\/Avisos\/ciu\/20241023_fnmt\/FNMT3.png\" alt=\"La imagen representa un an\u00e1lisis realizado por Triage del supuesto certificado adjunto en el correo, en el que se aprecia la peligrosidad de este virus calific\u00e1ndolo en diez de diez.\" \/><\/p>\n<p>Contenido realizado en el marco de los fondos del\u00a0<a title=\"Plan de Recuperaci\u00f3n, Transformaci\u00f3n y Resiliencia Gobierno de Espa\u00f1a\" href=\"https:\/\/planderecuperacion.gob.es\/\" target=\"_blank\" rel=\"noopener\">Plan de Recuperaci\u00f3n, Transformaci\u00f3n y Resiliencia<\/a>\u00a0del Gobierno de Espa\u00f1a, financiado por la Uni\u00f3n Europea (<a title=\"NextGenerationEU\" href=\"https:\/\/next-generation-eu.europa.eu\/index_es\" target=\"_blank\" rel=\"noopener\">Next Generation<\/a>).<\/p>\n<\/div>\n<p>URL nota INCIBE : <a href=\"https:\/\/www.incibe.es\/ciudadania\/avisos\/distribucion-de-malware-mediante-la-suplantacion-de-la-fabrica-nacional-de-moneda?sstc=u80868nl531346\" target=\"_blank\" rel=\"noopener\">https:\/\/www.incibe.es\/ciudadania\/avisos\/distribucion-de-malware-mediante-la-suplantacion-de-la-fabrica-nacional-de-moneda?sstc=u80868nl531346<\/a><\/p>\n<p>&nbsp;<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Nota informativa Recursos Afectados Cualquier persona que haya recibido el correo electr\u00f3nico descrito en el apartado anterior y haya ejecutado el archivo adjunto. Descripci\u00f3n Se ha detectado una campa\u00f1a de distribuci\u00f3n de\u00a0malware\u00a0mediante\u00a0phishing, que suplanta a la F\u00e1brica Nacional de Moneda &hellip; <a href=\"https:\/\/aiglesias.com\/?p=11629\">Sigue leyendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[4,13],"tags":[4610,2612],"class_list":["post-11629","post","type-post","status-publish","format-standard","hentry","category-general","category-noticias","tag-fnmt","tag-incibe"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p1W0Q6-31z","jetpack_sharing_enabled":true,"jetpack_likes_enabled":true,"jetpack-related-posts":[],"_links":{"self":[{"href":"https:\/\/aiglesias.com\/index.php?rest_route=\/wp\/v2\/posts\/11629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiglesias.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiglesias.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiglesias.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiglesias.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11629"}],"version-history":[{"count":2,"href":"https:\/\/aiglesias.com\/index.php?rest_route=\/wp\/v2\/posts\/11629\/revisions"}],"predecessor-version":[{"id":11633,"href":"https:\/\/aiglesias.com\/index.php?rest_route=\/wp\/v2\/posts\/11629\/revisions\/11633"}],"wp:attachment":[{"href":"https:\/\/aiglesias.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11629"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiglesias.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11629"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiglesias.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}