Parece que los ciberdelincuentes han tomado ya como costumbre el envío de correos electrónicos suplantando a las fuerzas de seguridad del estado para propagar códigos maliciosos. Si en anteriores ocasiones se usaba un dominio de la Guardía Civil como remitente del correo, en esta ocasión nos encontramos con una suplantación (algo menos profesional, todo sea dicho) de la Policía Nacional. Veamos un ejemplo de este tipo de correos:
Si nos detenemos a analizarlo observaremos varios detalles que deberían hacernos dudar de la autenticidad del mismo. Tal y como apuntan desde el Grupo de Delitos Telemáticos de la Guardia Civil, el lenguaje usado peca de algunos fallos de ortografía y expresiones no cotidianas en España. Empezando por el remitente del correo, observamos que el dominio es goberno.es, en lugar de gobierno.es. El uso de palabras como “Investigatorio” o “Assunto” también nos hacen pensar que este correo puede tener su origen en algún país latinoamericano, muy probablemente Brasil.
Pero, más allá de los fallos ortográficos, resulta vital revisar hacia donde apuntan los enlaces que se nos proporcionan. Solamente pasando el cursor del ratón sobre los enlaces veremos que la supuesta notificación de la Policía Nacional apunta a un archivo de nombre video.scr almacenado en webs con dominios de Camboya y de las islas de Santo Tomé y Principe. En este punto deberíamos descartar definitivamente la autenticidad del correo puesto que es totalmente imposible que la policía española se dedique a enviar correos tan mal redactados y con la supuesta notificación que quieren entregarnos almacenada en un dominio de un país no precisamente cercano a España.
Para tranquilizar a aquellos usuarios que hayan podido recibir una copia de este correo, nos gustaría destacar que el archivo malicioso video.scr que se descarga al pulsar sobre los enlaces proporcionados ya se encuentra detectado por varias soluciones de seguridad, entre ellas las de ESET, que la identifican como una variante del troyano bancario Win32/TrojanDownloader.Banload.PTI.
Desde el laboratorio de ESET en Ontinet seguimos viendo como esta técnica de suplantación de organismos y fuerzas de seguridad del estado español sigue usándose. Esto significa que les reporta suficientes beneficios a aquellos ciberdelincuentes que envían los correos como para repetir la estrategia. Para evitar que este tipo de correos siga engañando e infectando a usuarios desprevenidos recomendamos revisar atentamente los mismos,tal y como hemos hecho en este post. Solo así podremos aprender a identificar y descartar este tipo de mensajes
Josep Albors