Los cibedelincuentes siguen explotando todo tipo de temas relacionados con la Covid-19 para llevar a cabo actividades maliciosas y en los últimos días están circulando unos correos electrónicos maliciosos en los que suplantan la identidad del Ministerio de Sanidad.
La usuaria de Twitter @nuria_imeq, analista en seguridad informático y miembro del equipo de respuesta a emergencias cibernéticas de la Universidad Carlos III de Madrid, ha publicado un hilo en el que analiza esta campaña de phishing aportando capturas de la misma.
"Cuidado con esta campaña de #phishing Suplantación del @sanidadgob. Se recibe el siguiente mensaje indicando que has sido seleccionado/a para recibir una dosis adicional. El mensaje te lleva a una url donde te descargas un zip, sin analizar", dicta el primer mensaje, que sentencia etiquetando a la Policía y a la Guardia Civil para alertarles sobre este ciberataque.
Cuidado con esta campaña de #phishing Suplantación del @sanidadgob
— Sí, soy yo ♀️🏳️🌈 (@nuria_imeq) March 21, 2022
Se recibe el siguiente mensaje indicando que has sido seleccionado/a para recibir una dosis adicional. El mensaje te lleva a una url donde te descargas un zip, sin analizar.@policia @guardiacivil pic.twitter.com/hBX7TMWhR0
Como se observa en la primera captura, el e-mail incluye un documento adjunto titulado "Tarjeta-Vacuna-(supuesto nº de suscripción).PDF" y la url a la que redirige a los usuarios va incrustada en la siguiente frase: "Si desea elegir la marca para la vacunación presencial, imprima el adjunto a continuación y acuda a cualquier puesto de salud con un documento personal con foto".
En su análisis, compartido este pasado lunes 21 de marzo, @nuria_imeq concluye que este documento es malicioso pues contiene malware. Además, avisa que ese día no lo detectaba Virustotal por lo que también etiquetó al antivirus para que sea consciente de esta ciberamenaza y pueda actuar en consecuencia.
Pues tiene premio. #malware “vacuna email_phishing-[.msi analizando por @joe4security
— Sí, soy yo ♀️🏳️🌈 (@nuria_imeq) March 21, 2022
hxxps://www.joesandbox.com/analysis/593701/0/html
IOC: 34.117.59.81 el cual está catalogada como maliciosa por @AbuseIPDB
No detectado por @virustotal @malwrhunterteam @MalwarePatrol pic.twitter.com/gg80O6LtMY
Los ciberdelincuentes ya habían suplantado anteriormente al Ministerio de Sanidad, utilizando también la Covid-19 como gancho. Por ejemplo, en la campaña fraudulenta de SMS (smishing) que difundieron en los primeros meses de pandemia con la misma intención que en esta ocasión: infectar los dispositivos de las víctimas con malware.