Cada cierto tiempo vamos viendo como los ciberdelincuentes encuentran continuamente nuevas maneras de explotar las vulnerabilidades de los usuarios de internet intentando engañarlos. Una de las últimas y más preocupantes campañas de ciberataques ha sido la de un phishing que suplanta la identidad de la Policía Nacional española para distribuir malware a través de correos electrónicos fraudulentos.
La citación urgente como cebo
Esta campaña de phishing, una técnica que implica el engaño a los usuarios para que revelen información personal o descarguen software malicioso, se centra en la distribución de un tipo específico de malware conocido como Mekotio.
Los atacantes se hacen pasar por la Policía Nacional para enviar notificaciones por correo electrónico que se refieren a un supuesto informe policial y a una citación urgente, solicitando la comparecencia del receptor como testigo en una audiencia próxima.
El cebo utilizado para atrapar a los usuarios es un enlace que, bajo la promesa de contener la descarga de la citación, lleva en realidad a un archivo cargado de contenido malicioso. Los correos vienen adornados con asuntos alarmantes como “INFORME POLICIAL EMITIDO” y proceden de direcciones con estructuras de dominio sospechosamente genéricas y numeradas aleatoriamente.
Los correos fraudulentos destacan por su simplicidad y falta de autenticidad, sin incluir ningún logo oficial y proviniendo de dominios que no guardan relación alguna con los utilizados por la Policía Nacional.
Como actuar si has recibido uno de estos emails
Ante esta campaña de phishing que suplanta a la Policía Nacional distribuyendo malware es crucial conocer cómo actuar y cómo prevenir ser víctima de estos fraudes. Si recibes un correo que parece ser de la Policía Nacional citándote a una audiencia, lo primero es no interactuar con el enlace proporcionado ni descargar el archivo adjunto.
En caso de haber descargado el archivo, pero no haberlo ejecutado, es vital eliminarlo de inmediato. Para aquellos que hayan ejecutado el archivo, se recomienda desconectar el dispositivo afectado, realizar un escaneo completo con un antivirus actualizado y, en situaciones graves, considerar restablecer el equipo a su configuración de fábrica.
Así funciona el malware Mekotio
Mekotio es una variedad de malware clasificado como un troyano bancario, cuyo principal objetivo es robar información financiera y personal de los usuarios afectados. Se distribuye principalmente a través de campañas de phishing, en las que los atacantes envían correos electrónicos que contienen enlaces o archivos adjuntos maliciosos. Estos correos a menudo se disfrazan como comunicaciones oficiales de bancos o instituciones confiables para engañar a las víctimas y persuadirlas de que descarguen y ejecuten el malware en sus dispositivos.
Una vez instalado en el dispositivo de la víctima, Mekotio tiene múltiples funcionalidades que incluyen:
- Robo de credenciales: Puede capturar información de inicio de sesión y contraseñas almacenadas en navegadores web, permitiendo a los atacantes acceder a cuentas bancarias en línea, redes sociales y otros servicios importantes.
- Capturas de pantalla: Tiene la capacidad de tomar capturas de pantalla, lo que permite a los atacantes ver la actividad en la pantalla del usuario, incluyendo la inserción de información confidencial durante sesiones bancarias en línea.
- Sustitución de información del portapapeles: Puede alterar los datos copiados al portapapeles, como números de cuenta bancaria o direcciones de criptomonederos, reemplazándolos por otros pertenecientes a los atacantes. Esto puede resultar en transferencias de dinero o criptomonedas hacia cuentas controladas por los ciberdelincuentes.
- Keylogging: Algunas variantes de Mekotio pueden registrar las pulsaciones de teclado para capturar directamente cualquier información ingresada por el usuario.
Mekotio se comunica regularmente con un servidor de comando y control operado por los atacantes. Esto les permite no solo descargar la información robada, sino también actualizar el malware con nuevas funcionalidades, comandos específicos o incluso desplegar software malicioso adicional en el dispositivo infectado.