Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Campaña de distribución de malware Grandoreiro a través de falsos viajes

Fecha de publicación 28/12/2023
Importancia
3 - Media
Recursos Afectados

Toda persona que haya recibido el correo anteriormente descrito y haya descargado y ejecutado el archivo que ofrecen.

Descripción

Se ha detectado una campaña de distribución de malware a través de un correo electrónico fraudulento (phishing) haciéndose pasar por una supuesta agencia de viajes llamada ‘Spain Travel Corporation S.A.’ la cual es inexistente. En el mensaje del correo, se nos felicita informándonos de que un amigo nos envió un regalo de navidad en forma de un bono de viaje el cual debemos imprimir. Para ello, nos proponen hacerlo a través de un enlace que nos descarga un archivo .zip, pero en realidad es un archivo .msi, es decir, es un archivo ejecutable que contiene un código malicioso.

Solución

Si has recibido un correo como este, pero no has pulsado en el enlace, márcalo como correo no deseado o spam, y elimínalo de tu bandeja de entrada.

En caso de haber pulsado en el enlace y descargado el archivo, pero sin ejecutarlo, busca en tu carpeta de descargas y elimínalo. Te recomendamos vaciar la papelera de reciclaje y hacer uso de una herramienta antivirus.

En el caso de ejecutar el archivo descargado, puede que tu dispositivo se encuentre infectado o en peligro, por lo que te recomendamos los siguientes pasos:

  • Desconecta el equipo de la red doméstica, de ese modo aislarás el dispositivo para que el malware no se extienda a otros dispositivos.
  • Realiza un análisis exhaustivo con un antivirus actualizado. En caso de que ese análisis no acabe con la infección, plantéate formatear o resetear tu dispositivo a fábrica para desinfectarlo. Si realizas estas acciones, los datos almacenados en el dispositivo se perderán, por lo que recomendamos realizar copias de seguridad regularmente para conservar los archivos importantes.
  • Recopila todas las evidencias posibles, haciendo capturas de pantalla y guardando el correo electrónico recibido por la posibilidad de interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Para ello, puedes ayudarte de testigos online y certificar el contenido de las pruebas.

Descubre más sobre este tipo de ataques y otros similares para poder evitarlos siguiendo nuestros consejos de prevención.

Detalle

Se ha detectado una campaña de malware que está siendo distribuida mediante correo electrónico. Dichos correos electrónicos son fraudulentos, ya hacen uso de una técnica de ingeniería social llamada phishing, que, en este caso, suplanta a una supuesta agencia de viajes llamada ‘Spain Travel Corporation S.A.’.

En dicho correo se ofrece un bono de viaje que supuestamente nos ha regalado un amigo, pero en realidad lo que intentan es que accedas al enlace que se incluye en el correo y, al acceder a dicho enlace, te descargues un archivo comprimido .zip. Al extraer los archivos que están almacenados en su interior, se ejecuta un archivo .msi contenido en la impresión del bono y en ese momento, se instalará en el sistema de tu dispositivo un malware conocido como Grandoreiro.

A continuación, se muestra un ejemplo del correo electrónico recibido y el archivo comprimido .zip que contiene el archivo con el código malicioso.

Se muestra la imagen de un correo electrónico que supuestamente procede de un servicio llamado Spain Travel informándonos de la obtención de un supuesto regalo.


 Como se puede observar en la imagen, nos informa de que un amigo nos envió un regalo de navidad, y nos ofrece un enlace para imprimir el bono, con el cual se iniciara la descarga del archivo .zip. En ningún caso, facilita información personal o identificatoria, por lo que podemos considerar que se trata de una comunicación genérica de la cual hay que desconfiar.

Se muestra una imagen de la descarga de un archivo comprimido en .zip que contiene el archivo con malware.

 
 En la imagen que acabas de ver, aparece el archivo .zip que se descarga una vez clicas en el enlace, el cual contiene en realidad un archivo .msi que al ejecutarlo contiene el código malicioso.

Se muestra la imagen de la página web de descarga fuera de servicio tras ser reportada.

 
 En la imagen se puede ver que el dominio al cual se accede a través del enlace para la descarga del archivo .zip ha sido desactivado. No se descarta el uso de dominios y redirecciones adicionales para la distribución esta campaña de malware, por lo que se recomienda extremar las precauciones con correos que prometan regalos o beneficios similares.

Contenido realizado en el marco de los fondos del Plan de Recuperación,Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas