La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) ha alertado de una masiva campaña que suplanta a la Policía Nacional, utilizando la técnica de phishing, con la que se pretende distribuir un malware a través de notificaciones que hacen referencia a un supuesto informe policial emitido y una advertencia de citación, solicitando a la persona que reciba dicho correo a comparecer como testigo en una audiencia que se celebrará un día determinado.
Para ello, el usuario dispone de un enlace que supuestamente contiene la descarga de la citación, aunque en realidad esa descarga tiene un archivo con contenido malicioso.
Detalle
Ha sido detectada una campaña de suplantación de la Policía Nacional mediante la técnica de phishing, con la intención de distribuir un determinado tipo de malware llamado Mekotio. Esta campaña utiliza la excusa de una citación para asistir como testigo en la audiencia que se celebrará en una fecha cercana a la recepción del comunicado.
Dicho correo invita al usuario a descargar la citación a través de un enlace, el cual contiene el archivo malicioso que al descargarlo ejecutará un malware en el dispositivo. Se han detectado correos con asuntos como: “INFORME POLICIAL EMITIDO” y direcciones de origen con similar estructura de dominio, donde XXXX son números aleatorios:
- “POLICIA NACIONAL” <intimacionesXXXXX@fastinse.
from-fl.com> - “POLICIA NACIONAL” <intimacionesXXXXX@fastinse.
from-in.com> - “POLICIA NACIONAL” <intimacionesXXXXX@fastinse.
from-id.com>
No se descarta que puedan llegar a utilizar otros asuntos y direcciones distintas, con lo cual se debe extremar la precaución si se recibe algún correo o comunicación similar. Hay algunos indicios que nos pueden hacer sospechar que se trata de un correo fraudulento, por ejemplo, en el caso de estos, podemos fijarnos en que el contenido del correo es muy simple, sin ningún tipo de logo oficial.
Además, los dominios de dichos correos no tienen relación con los usados por la Policía Nacional. Ejemplo de uno de los tipos de correo que se están distribuyendo en esta campaña de suplantación:
Al analizar el archivo .msi descargado, a través de la herramienta online de VirusTotal, se observa que múltiples firmas de antivirus lo detectan como malicioso.
Solución
En caso de que hayas recibido un correo electrónico que parece ser de la Policía Nacional, citándote como testigo en una supuesta audiencia, pero no has interactuado con el enlace ni has descargado el archivo que viene adjunto, clasifícalo como spam y bórralo de tu bandeja de entrada.
Por otro lado, si has descargado el archivo, pero no lo has ejecutado, es importante que lo elimines de tu carpeta de descargas y de la papelera de reciclaje. En cambio, si has descargado y ejecutado el archivo para obtener información sobre la supuesta citación, es recomendable que realices los siguientes pasos:
- Desconecta el equipo que haya podido verse comprometido de la red doméstica para prevenir la propagación del malware a otros dispositivos.
- Mantén actualizado el antivirus y efectúa un escaneo total del sistema para asegurarte de que se encuentra fuera de peligro.
- Si crees que el dispositivo puede continuar infectado, debes plantearte restablecerlo a su configuración de fábrica para desinfectarlo. Ten en cuenta que este proceso eliminará todos los datos que tengas guardados, por lo que se recomienda realizar copias de seguridad de forma regular.
- Toma capturas de pantalla del email y de los archivos adjuntos para usarlas como evidencias en caso de que presentes una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Puedes recurrir a testigos online para validar el contenido de dichas pruebas.
- Siempre puedes comprobar que se trata de una comunicación oficial a través de la plataforma de la Policía Nacional o llamar al teléfono 017 de INCIBE para obtener consejos de expertos en ciberseguridad.
