Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

[Actualización 08/09/2023] ¿Has recibido una citación por email de la Policía? No descargues el archivo, es un malware

Fecha de publicación 06/09/2023
Importancia
3 - Media
Recursos Afectados

Los usuarios que hayan recibido el phishing mencionado y hayan descargado y ejecutado o tratado de abrir el archivo.

Descripción

Mensajes fraudulentos pertenecientes a una campaña de phishing, contactan con usuarios mediante correo electrónico con el cual se distribuye un malware de tipo troyano, bajo la excusa de consultar más información sobre la citación judicial, debido a una denuncia interpuesta al usuario a través del enlace que supuestamente redirige a una APP, pero que realmente descarga un archivo comprimido en .zip, que contiene un archivo.txt y un archivo .hta, los cuales se guardan en el dispositivo.

Solución

Si has recibido un correo electrónico, aparentemente de la Policía Nacional, citándote debido a una supuesta denuncia, pero no has hecho clic en el enlace ni descargado el archivo adjunto a dicho correo, márcalo como spam y elimínalo de tu bandeja de entrada.

En cambio, si has descargado el archivo, pero no lo has ejecutado, asegúrate de eliminarlo tanto de tu carpeta de descargas como de la papelera de reciclaje.

Por el contrario, si has descargado el archivo y lo has ejecutado para conocer la información sobre la supuesta citación, deberías llevar a cabo los siguientes pasos:

  • Desconecta el dispositivo infectado de la red de tu hogar para evitar que el malware se propague a otros dispositivos.
  • Realiza un análisis completo del sistema con tu antivirus, asegúrate de mantenerlo actualizado.
  • Si sospechas que el dispositivo aún esté infectado, deberías considerar la opción de formatear o restablecer de fábrica los valores de tu dispositivo para desinfectarlo. Esta acción borrará todos los datos almacenados, por lo que deberías realizar copias de seguridad de forma periódica de tus datos.
  • Realiza capturas de pantalla del correo y archivos para adjuntarlas como pruebas para presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado si fuera necesario. Puedes valerte de testigos online para certificar el contenido de estas pruebas.
  • En caso de que dudes de si se trata realmente de una comunicación oficial, siempre puedes ponerte en contacto con la Policía Nacional o llamar al 017 de INICBE para recibir asesoramiento de expertos en ciberseguridad.

Descubre cómo protegerte de este tipo de virus y otro tipo de ataques con nuestras recomendaciones.

Detalle

 

Ha sido detectada una campaña que suplanta a la Policía Nacional mediante la técnica de phishing, con la finalidad de que la víctima descargue a través del enlace, un archivo comprido.zip y ejecute en su dispositivo el malware de tipo troyano que contiene.

El asunto utilizado para en estos correos es el siguiente:

Policia Nacional Denuncia - Solicitar que se cite al demandado XXXXXXX , Citacion Electronico ID XXXX

No se descarta el uso de otros asuntos para la distribución de este phishing.

Algunos indicativos que nos hacen sospechar de que se trata de un correo fraudulento son: los dominios de los correos electrónicos no tienen relación con la Policía Nacional y el cuerpo del correo no presenta un formato de notificación oficial de la Policía.

Para forzar al usuario a actuar con urgencia y sin contrastar la veracidad del correo, se indican el día y la hora de la citación próximos a la fecha actual.

 

Se muestra un correo el cual ha sido enviado suspuestamente por la policia nacional, el cual inform al usuario que esta citdado por una denuncia por cargos de robo

Si el usuario sigue los pasos del correo y pulsa en el supuesto enlace donde descargará una app, este le redirigirá a una web, la cual descargará un comprimido .zip. Siempre debemos sospechar de aquellos enlaces que no descargan aplicaciones de mercados oficiales.

 

Se muestra un navegador, el cual esta siendo descargado un comprimido desde una web.

 

Al descomprimirlo, habrá dos archivos: un .txt y un .hta (archivo ejecutable), este último contendría el código malicioso, que al ser ejecutado infectaría el dispositivo, comprometiendo la seguridad de este.

 

Se muestra el archivo descomprimido, el cual se remarca uno fichero .hta

 

Al comprobar el archivo con herramientas de detección de malware como VirusTotal y URLhaus, nos proporciona información sobre el archivo .hta descargado, identificándolo como un troyano.

 

Se muestra la web de virus total donde muestra un resultado del analisis que se ha realizado sobre el fichero malicioso.

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).