Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Distribución de malware que suplanta al Ministerio de Sanidad

Fecha de publicación 26/10/2020
Importancia
4 - Alta
Recursos Afectados

Cualquier empleado, autónomo o empresa que reciba un correo suplantando al Ministerio de Sanidad, Consumo y Bienestar Social como el descrito a continuación.

Descripción

Desde INCIBE se ha detectado una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar al Ministerio de Sanidad, Consumo y Bienestar Social con el fin de difundir malware.

En la campaña identificada, el correo tiene como asunto: «Urgente – Informacion CORONAVIRUS». En el mensaje se informa de los supuestos nuevos protocolos que ha dictado el Ministerio de Sanidad, Consumo y Bienestar Social con motivo de la situación actual derivada de la pandemia de COVID-19 y de la nueva declaración del estado de alarma dictada el día 25 de octubre. Dicho correo electrónico contiene un enlace en el que se invita al usuario a descargar la circular del Ministerio con las nuevas instrucciones. Una vez que el usuario ha seleccionado el enlace, este es redirigido a una página web maliciosa donde se descargará el malware.

El nombre del archivo malicioso es «rnh_Fichero_ES.zip», aunque no se descarta que los ciberdelincuentes puedan usar otras denominaciones.

[Actualización 03/11/2020]

Desde el Ministerio de Sanidad se ha publicado una nota de prensa advirtiendo de otras variantes de la campaña de envíos de correos maliciosos detectada por INCIBE el pasado 26 de octubre, y que tiene como fin difundir malware suplantando al Ministerio de Sanidad.

En las campañas identificadas por el Mº de Sanidad, se advierte del uso de dominios de correo fraudulentos del tipo @mscbs.gob.es ya que utilizan la técnica de email spoofing como, por ejemplo, anonym@incibe.es4556 o anonym@incibe.es4557, entre otros. Los asuntos utilizados por los ciberdelincuentes pueden variar aunque comparten la temática de las medidas adoptadas por el Ministerio ante la pandemia, como por ejemplo, «FWD: REAL DECRETO 926/2020, POR EL QUE SE DECLARA EL ESTADO DE ALARMA.».

En los mensajes detectados se avisa de las nuevas limitaciones aprobadas por el Gobierno de España con motivo de la situación actual derivada de la pandemia de COVID-19 y de la nueva declaración del estado de alarma dictada el día 25 de octubre.

Dichos correos electrónicos incluyen un enlace en el que se invita al usuario a descargar la publicación en el Boletín Oficial del Estado del real decreto acordado el pasado 25 de octubre en el que se aprobaba la declaración del estado de alarma. Una vez que el usuario ha seleccionado el enlace contenido en el cuerpo del mensaje, este es redirigido a una página web maliciosa donde se descargará el malware.

El nombre del archivo malicioso detectado es «2020-12891-FICHERO-ES.zip» aunque el nombre puede variar dependiendo del correo detectado.

Solución

Es importante que ante la mínima duda analices detenidamente el correo, tal y como explicamos en el artículo:

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente. Verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

En la campaña detectada, el correo electrónico trata de distribuir un tipo de malware, denominado como Trojan Downloader o Dropper. Este tipo de malware está diseñado para tomar el control del equipo infectado.

Una vez el malware tiene bajo control el dispositivo infectado, el ciberdelincuente podría realizar otras acciones que pueden poner en riesgo la información alojada en el dispositivo, así como ser infectado por otro tipo de software malicioso específico para lograr sus objetivos como por ejemplo, ransomware o una botnet.

Para ello, los ciberdelincuentes hacen uso de la técnica de email spoofing, con la cual simulan que el remitente del correo electrónico es el propio Ministerio de Sanidad, Consumo y Bienestar Social cuando en realidad no es así. El mensaje que suplanta a dicho autoridad es el siguiente:

Aviso 26/10/2020 - Correo electrónico malware Ministerio de Sanidad

Como se puede observar en la imagen, el cuerpo del mensaje contiene múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que un organismo público nunca cometería.

Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «rnh_Fichero_ES.zip», como puede observarse en la siguiente imagen:

Captura descarga archivo comprimido con malware

El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

[Actualización 03/11/2020]

El correo identificado es el siguiente:

Correo malicioso suplantando al Ministerio de Sanidad

Como se puede observar en la imagen, el cuerpo del mensaje contiene múltiples errores gramaticales y ortográficos junto con otras incongruencias, errores que un organismo público no realizaría.

Una vez se ha pulsado sobre el enlace contenido en el cuerpo del correo, se abrirá el navegador para descargar el archivo malicioso. Algunos navegadores pueden detectar el archivo descargado como malware, bloqueando su descarga.

Línea de ayuda en ciberseguridad 017