Detectadas campañas de distribución de malware mediante un .zip con contraseña

INCIBE señala que no se debe descargar el archivo adjunto

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de dos campañas de distribución de ‘malware’ por medio de correo electrónico. Las campañas identificadas contienen mensajes cortos y un archivo adjunto en formato .zip. Dentro del cuerpo del mensaje siempre figura una contraseña, la cual es necesaria para extraer el archivo que contiene el fichero .zip. Dicho archivo es un documento con extensión .doc que contiene macros que terminan infectando el equipo con “malware“.

Los correos maliciosos identificados utilizan mensajes que instan al usuario a descargar y ejecutar el archivo adjunto. El mensaje de la primera de las campañas identificadas tiene asunto “Respuesta” y en su cuerpo dice lo siguiente:

Asunto: Respuesta

Buenas tardes.

Gracias, hablamos. Contraseña de archivo: 8188.

Un saludo.

Ejemplo

El correo de la segunda campaña identificada indica como asunto “PRIVACIDAD” y en el cuerpo del mensaje indica:

Asunto: PRIVACIDAD

Buenas tardes.

Adjunto los archivos. Contraseña de archivo: 252.

Un saludo.

Ejemplo

Los mensajes son escuetos y siempre van acompañados de una contraseña para descomprimir el archivo adjunto, un fichero .zip con nombre aleatorio. Una vez que se descomprime el .zip se obtiene un archivo Office con extensión .doc y cuyo nombre, según INCIBE, será el mismo que el del .zip. Si se ejecuta dicho archivo se mostrará un mensaje similar al siguiente, donde se insta al usuario a permitir el contenido desconocido y a habilitar las macros en el editor de textos.

Mensaje que aparece al ejecutar el archivo .doc
Imagen: INCIBE. Mensaje que aparece al ejecutar el archivo .doc / INCIBE

El INCIBE señala que bajo ningún concepto se debe habilitar el modo edición y las macros ya que, si se hace, se infectará el equipo con algún “malware“, probablemente Emotet (un tipo de troyano).

Qué hacer ante un correo malicioso

El INCIBE indica que ante cualquier correo que contenga las siguientes características es recomendable borrarlo directamente:

  • Remitente desconocido.
  • Mensaje escueto.
  • Dentro del cuerpo del mensaje figura una contraseña simple, generalmente compuesta exclusivamente por números.
  • Contiene un archivo adjunto .zip.

Asimismo, para evitar infecciones relacionadas con archivos de Offices, el INCIBE recomienda tener especial cuidado con los archivos descargados y nunca habilitar el modo de edición a no ser que se esté seguro de que es un archivo legítimo. Además señala que no se deben habilitar nunca las macros de un documento Office del que se desconozca el origen. «Las macros deben estar desactivadas por defecto y únicamente deben activarse con conocimiento de usuario», indica el INCIBE. Para deshabilitarlas hay que seguir esta ruta dentro de las opciones de Office: “Archivo” > “Opciones” > “Centro de confianza” > “Configuración del centro de confianza” > “Deshabilitar” las macros con notificación.

Habilitar macros Office
Imagen: INCIBE. Macros Office

Para evitar ser víctima de este tipo de engaños, el INCIBE recomienda seguir estos consejos:

  • No abrir correos de usuarios desconocidos o no solicitados: hay que eliminarlos directamente.
  • No contestar en ningún caso a estos correos.
  • Revisar los enlaces antes de hacer clic, aunque sean de contactos conocidos.
  • Desconfíar de los enlaces acortados.
  • Desconfíar de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
Correo con malware adjunto en un archivo .zip con contraseña
Imagen: INCIBE

Fuentes: incibe.es / ideal.es

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad
A %d blogueros les gusta esto: