La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) ha alertado de una campaña masiva de distribución de malware que suplanta al SEPE (Servicio Público de Empleo Estatal) mediante la técnica de phishing, utilizando como pretexto el envío de una notificación, parte de un supuesto proceso laboral, con el objetivo de que el usuario acceda al enlace facilitado.
Dicho enlace, supuestamente ofrecen el detalle del proceso en formato PDF, pero en realidad, se descarga un archivo comprimido que contiene un ejecutable (archivo.exe) con un código malicioso que infecta el dispositivo. El mensaje muestra una serie de datos del proceso para hacerlo creíble, pero estos no datos reales.
El asunto detectado para este tipo de ataque es el siguiente, aunque no se descarta el uso de otros similares, como la variación de la fecha de actuación, el número del proceso o el correo del destinatario:
- Ministerio del Trabajo – [correo electrónico del destinatario], Aviso extrajudicial de la Justicia.
En la siguiente imagen se muestra el aspecto del correo recibido por los usuarios, el cual se puede apreciar que incluye el logotipo del Ministerio actual al que pertenece el SEPE para intentar darle veracidad a la notificación. Aunque si examinamos el cuerpo del mensaje, se indica que el órgano competente es el Ministerio de Justicia del trabajo, el cual no existe.
También, contiene datos que indican que la acción es actual incluyendo una fecha de actuación. No se descarta que los ciberdelincuentes actualicen dicha fecha en próximas campañas.
Si el usuario hace clic en el enlace, le redireccionará a una web donde se descargará el presunto PDF, aunque en realidad será un archivo comprimido .zip.
El análisis realizado en VirusTotal indica que los archivos adjuntos corresponden a un malware denominado Ousaban, un troyano bancario que pretende robar credenciales y otra información adicional de las instituciones financieras.
En caso de que hayas recibido un correo que parece ser del SEPE, citándote para una supuesta notificación de un proceso laboral, pero no has pulsado sobre el enlace, ni has descargado el archivo adjunto, debes marcarlo como spam y borrarlo de tu bandeja de entrada.
Por otro lado, si has descargado el archivo, pero no lo has abierto, es importante que lo borres de tu carpeta de descargas y también de la papelera de reciclaje. En ambos casos, puedes reportar el fraude mediante los canales de INCIBE o incluso si lo necesitas, solicita ayuda mediante la Línea de Ayuda en Ciberseguridad.
