Facebook Linkedin Twitter Instagram Youtube Telegram

Se descubre un correo que suplanta a la Generalitat de Catalunya

“Pagament taxa REA”: ESET descubre un correo que suplanta a la Generalitat de Catalunya

El pago de la tasa

Actualmente es muy común encontrarnos con correos de phishing escritos cada vez mejor en español, nada raro viendo que los delincuentes pueden abarcar así cientos de millones de potenciales víctimas. Sin embargo, en ocasiones también nos hemos topado con casos en los que los delincuentes se han tomado la molestia de redactar mensajes en otras lenguas cooficiales como el catalán y, aunque no es lo habitual, tampoco debería sorprendernos, puesto que un email bien redactado en una lengua que hablan millones de personas en nuestro país y suplantando a la empresa u organismo oficial adecuado puede resultar mucho más efectivo que el típico email genérico escrito en castellano.

El email que podemos ver a continuación es un claro ejemplo de ello, con una muy buena redacción en catalán y que suplanta la identidad de nada menos que la Generalitat de Catalunya informando del pago pendiente de una tasa correspondiente al Registre de Empreses acreditades de Catalunya.

Este correo puede pasar perfectamente por legítimo para la mayoría de usuarios, ya que la redacción es buena y parece venir de una cuenta oficial de la Generalitat. En él se indica la necesidad de pagar una tasa y se incluye un enlace que dirige a la web oficial de la Generalitat. Curiosamente, no se menciona directamente el fichero que viene adjunto al correo, lo que podría ser un indicador de que el texto ha sido copiado de un correo oficial y que los delincuentes detrás de esta campaña confían en que algunos de los usuarios que reciban este correo descargarán y ejecutarán igualmente el fichero.

Analizando el malware

Tal y como viene siendo habitual desde hace tiempo, el fichero adjunto viene dentro de un archivo comprimido y, a pesar de la doble extensión utilizada, se puede observar cómo nos encontramos ante un fichero ejecutable.

La cadena de infección del malware no tiene demasiadas complicaciones ya que el malware se ejecuta en el sistema, realiza las acciones para las que ha sido programado y contacta con el centro de mando y control que le han establecido los delincuentes para el envío de la información robada.

Al ejecutarse el malware vemos que realiza ciertas comprobaciones como obtener el nombre de la máquina en la que se ejecuta y el idioma predeterminado en el sistema. En lo que respecta al malware en sí, estaríamos ante un nuevo caso de infostealer o ladrón de información tan habitual durante los últimos meses en España y, más concretamente, una variante del malware Warzone, también conocido como AveMaria.

La finalidad de este tipo de amenazas consiste, principalmente, en obtener credenciales almacenadas en aplicaciones de uso cotidiano en ordenadores corporativos, tales como clientes de correo, navegadores de Internet, clientes FTP o VPNs, entre otras. Una vez recopilada esa información, el malware se encarga de enviarla al centro de mando y control definido por los delincuentes, desde donde también puede recibir nuevas órdenes, según les convenga.

Este tipo de amenazas se han vuelto muy activas recientemente, ya que las credenciales robadas no solo pueden utilizarse para acceder a la red corporativa para robar nuevas credenciales y desplegar nuevos tipos de malware como el temido ransomware. También pueden usarse para hacerse pasar por la empresa atacada y enviar correos a sus clientes y proveedores con malware adjunto, o incluso usar este acceso para realizar los ataques conocidos como “fraude del CEO” y que permiten a los delincuentes obtener importantes sumas de dinero.

Conclusión

Ante la elevada cantidad de malware del tipo infostealer que venimos detectando en España desde hace tiempo, era esperable que los delincuentes quisieran acotar aun más sus posibles víctimas y lanzasen campañas todavía más personalizadas como esta que acabamos de revisar. En cualquier caso, las medidas que debemos adoptar para evitar caer en este tipo de trampas son las ya conocidas y que pasan por no abrir ficheros adjuntos ni pulsar sobre enlaces que no son solicitados, por mucho que parezcan venir de fuentes de confianza, y contar con soluciones de seguridad que puedan detectar y eliminar estas amenazas.

Picture of MLuz Dominguez

MLuz Dominguez

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.