{"id":22536,"date":"2020-04-30T16:00:01","date_gmt":"2020-04-30T14:00:01","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22536"},"modified":"2020-04-30T16:00:01","modified_gmt":"2020-04-30T14:00:01","slug":"covid-fake-delivery-service-spam-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/covid-fake-delivery-service-spam-phishing\/22536\/","title":{"rendered":"Los env\u00edos falsos en una \u00e9poca de encierro"},"content":{"rendered":"

Ser\u00eda complicado dar con un \u00e1mbito de la actividad humana que no se haya visto afectado por la pandemia del coronavirus y los servicios de transporte urgente no son ninguna excepci\u00f3n. Los flujos de transporte entre pa\u00edses se han visto interrumpidos y empieza a haber escasez<\/a> de aviones de mercanc\u00edas, dado que particulares y empresas contin\u00faan solicitando productos tanto de su pa\u00eds como del extranjero. De hecho, se ha disparado<\/a> la demanda de ciertos art\u00edculos.<\/p>\n

Este aumento de la demanda est\u00e1 generando que los plazos de env\u00edo aumenten. Como consecuencia, los clientes se est\u00e1n acostumbrando a recibir mensajes de disculpa relacionados con la actualizaci\u00f3n del estado de su pedido. Estos d\u00edas, hemos observado una gran cantidad de sitios falsos y correos electr\u00f3nicos supuestamente de servicios de transporte que aprovechan el tema del coronavirus. Los estafadores est\u00e1n utilizando tanto t\u00e1cticas ya comprobadas<\/a>, como nuevos esquemas.<\/p>\n

Spam con archivos adjuntos maliciosos<\/h2>\n

Los ciberdelincuentes pueden hacerse pasar por empleados del servicio de transporte para persuadir a las v\u00edctimas a abrir los archivos adjuntos de los correos electr\u00f3nicos. El truco habitual es decir a la v\u00edctima que para recibir un paquete que viene en camino, el destinatario primero debe leer o confirmar la informaci\u00f3n en un archivo adjunto.<\/p>\n

Por ejemplo, un correo electr\u00f3nico de notificaci\u00f3n de entrega en un ingl\u00e9s incorrecto que afirma que no se puede entregar el paquete debido a la pandemia, por lo que el destinatario deber\u00e1 acudir al almac\u00e9n y recogerlo en persona.<\/p>\n

Seg\u00fan afirma el propio correo, la direcci\u00f3n del almac\u00e9n, junto con otro tipo de informaci\u00f3n interesante, se encuentra en el archivo adjunto que, una vez abierto, instala una puerta trasera Remcos en el ordenador. Entonces, los ciberdelincuentes pueden hacer que el equipo se una a un botnet<\/em> o, simplemente, robar los datos o instalar otro malware<\/em>.<\/p>\n

\"\"

Notificaci\u00f3n de env\u00edo falsa<\/p><\/div>\n

Los autores de otro correo electr\u00f3nico falso utilizan un truco similar, alegando que la compa\u00f1\u00eda no ha podido entregar el paquete debido a un error de etiquetado. Se solicita a la v\u00edctima que confirme la informaci\u00f3n en el archivo adjunto, que realmente contiene a otro miembro de la familia Remcos.<\/p>\n

\"\"

Estos delincuentes fingen ser de una compa\u00f1\u00eda de transporte urgente, pero la direcci\u00f3n los delata<\/p><\/div>\n

A veces los ciberdelincuentes introducen im\u00e1genes de documentos en el mensaje para otorgar credibilidad. En el siguiente ejemplo, los estafadores a\u00f1adieron una peque\u00f1a imagen al texto del correo electr\u00f3nico. Parec\u00eda un recibo, pero era tan peque\u00f1o que no se pod\u00eda leer y no cambiaba de tama\u00f1o al hacer clic, lo que provoc\u00f3 que el destinatario abriera el archivo adjunto malicioso, cuyo nombre conten\u00eda \u201c.jpg\u201d.<\/p>\n

Si el cliente de correo electr\u00f3nico del destinatario no muestra la extensi\u00f3n real del archivo, podr\u00edan confundir dicho archivo adjunto con la imagen. En realidad, se trata de un archivo ACE ejecutable que contiene el programa spyware<\/em> Noon.<\/p>\n

Para apresurar a la v\u00edctima, los ciberdelincuentes afirman que necesitan la informaci\u00f3n que falta con urgencia para entregar el paquete antes del cierre.<\/p>\n

\"\"

Correo electr\u00f3nico falso de un servicio de transporte que contiene un archivo con una doble extensi\u00f3n<\/p><\/div>\n

Otro tema en los correos electr\u00f3nicos maliciosos que no es nuevo pero que es especialmente relevante en la situaci\u00f3n actual son los retrasos en la entrega. El escenario es totalmente plausible: los estafadores incitan a la v\u00edctima a descargar un archivo adjunto que contiene el troyano Bsymem que, si se ejecuta, permite a los atacantes tomar el control del dispositivo y robar datos. La parte final del mensaje incluye una declaraci\u00f3n que afirma que se ha escaneado por una soluci\u00f3n de seguridad de correo y no se han encontrado archivos o enlaces maliciosos, con el objetivo de transmitir al destinatario una falsa sensaci\u00f3n de seguridad.<\/p>\n

\"\"

Notificaci\u00f3n falsa sobre una demora en la entrega de un paquete debido al COVID-19<\/p><\/div>\n

Muchos ciberdelincuentes simplemente introducen una menci\u00f3n al COVID-19 en sus plantillas de correo habituales, pero otras se centran especialmente en la cuarentena y en la r\u00e1pida expansi\u00f3n de la pandemia.<\/p>\n

Por ejemplo, en uno de los casos, el gobierno ha prohibido la importaci\u00f3n de cualquier tipo de bienes al pa\u00eds, por lo que el paquete se ha devuelto al remitente.<\/p>\n

\"\"

Los estafadores afirman que el gobierno ha prohibido la importaci\u00f3n de bienes al pa\u00eds<\/p><\/div>\n

El archivo adjunto supuestamente contiene un n\u00famero de seguimiento de pedido para solicitar un reenv\u00edo despu\u00e9s de que disminuyan las restricciones de salud relacionadas con el virus. Pero al abrir el archivo, corres el peligro de instalar la puerta trasera Androm, que concede a los atacantes el acceso remoto al ordenador.<\/p>\n\n

Phishing<\/h2>\n

Los estafadores especializados en ataques de phishing tambi\u00e9n se est\u00e1n aprovechando del caos en el mercado de entregas. Hemos detectado copias muy fieles a la originales de sitios web leg\u00edtimos, as\u00ed como de p\u00e1ginas de seguimiento falsas. Evidentemente, todas ellas hacen menci\u00f3n al coronavirus.<\/p>\n

Por ejemplo, los ciberdelincuentes que se marcan como objetivo las cuentas de los clientes de los servicios de transporte copian al detalle la p\u00e1gina de inicio oficial de la compa\u00f1\u00eda, incluidas las \u00faltimas noticias sobre la pandemia.<\/p>\n

\"\"

Sitio web oficial (izquierda) y fuente de phishing que pretende parecerse al sitio web (derecha)<\/p><\/div>\n

No menos detallado es este clon de otro sitio web de servicios de transporte, que tambi\u00e9n menciona las \u00faltimas noticias sobre el coronavirus.<\/p>\n

\"\"

Recurso de phishing hecho para parecerse al sitio web de otro servicio de transporte<\/p><\/div>\n

Los autores de este portal falso, destinado supuestamente al seguimiento de los paquetes, agregaron COVID-19 al apartado de derechos de autor. No hay mucha m\u00e1s informaci\u00f3n en la p\u00e1gina: un formulario para introducir credenciales y una lista de servicios de correo electr\u00f3nico \u201csocios\u201d. No hace falta decir que, si introduces las credenciales en esta fuente, esta las env\u00eda directamente a los estafadores y el destino del paquete seguir\u00e1 siendo desconocido.<\/p>\n

\"\"

P\u00e1gina falsa de seguimiento de paquetes<\/p><\/div>\n

C\u00f3mo no picar en el anzuelo<\/h2>\n

En el contexto de la pandemia y la gran cantidad de retrasos reales que se est\u00e1n generando en la entrega de los paquetes, los sitios falsos y los correos electr\u00f3nicos tienen una buena probabilidad de \u00e9xito, especialmente si realmente est\u00e1s esperando un paquete o si, por ejemplo, has recibido informaci\u00f3n sobre el env\u00edo en tu correo electr\u00f3nico de trabajo y tienes motivos para pensar que un colega podr\u00eda haber realizado el pedido. Para evitar caer en la trampa:<\/p>\n