La Guardia Civil y la Oficina de Seguridad del Internauta (OSI) han informado sobre una nueva estafa cibernética que está circulando por España y otros países latinoamericanos. Los criminales suplantan la identidad de WhatsApp e instan a los usuarios a realizar una copia de seguridad de sus mensajes en la aplicación.
Una vez más, los ciberdelincuentes recurren a las tácticas de ingeniería social vía phishing para engañar a los usuarios menos precavidos. Si tienen éxito, los dispositivos de sus víctimas pueden infectarse con Grandoreiro, un troyano escrito en Delphi que puede robar sus credenciales bancarias, el mayor temor para muchos. Sin embargo, también es capaz de registrar las pulsaciones en el teclado, simular acciones de ratón y teclado, reiniciar el dispositivo, cerrar la sesión o bloquear el acceso a determinadas páginas.
⚠#ALERTA ❗ Detectada campaña de emails suplantando a WhatsApp con un mensaje que descarga un #troyano. #NoPiques simula ser una copia de seguridad de las conversaciones y el histórico de llamadas e insta a pulsar sobre el enlace para descargarlo. https://t.co/j8faeDWsOs pic.twitter.com/P1XMqHvdCb
— Guardia Civil 🇪🇸 (@guardiacivil) September 23, 2021
Los investigadores de seguridad comentan que este malware no es nada nuevo. Grandoreiro ya lleva un tiempo haciendo de las suyas en España, México, Brasil y Perú. En 2019, comenzó a distribuirse como un archivo adjunto a través de correos electrónicos fraudulentos. Con el fin de engañar a sus víctimas, los ciberdelincuentes emplearon todo tipo de estrategias. Por citar algunas, utilizaron la COVID-19 como pretexto, ofrecieron falsas actualizaciones de Java o Flash e incluso intentaron suplantar la identidad de la Agencia Tributaria.
El uso de WhatsApp como señuelo
Actualmente, WhatsApp cuenta con más de 2.000 millones de usuarios, así que no es de extrañar que los piratas informáticos lo hayan utilizado a modo de señuelo. De hecho, un informe de Kaspersky situaba a España entre los países más afectados por el phishing en la aplicación de mensajería. El mensaje en cuestión anima a los usuarios a descargar una copia de sus mensajes e historial de llamadas en la app.
Como podemos ver en la siguiente imagen, el correo incluye un fichero adjunto llamado “Open_Document_513069.html”. Dicho documento conduce a una URL, acortada por medio de bitly, que descarga un archivo .zip, dentro del cual se encuentra el verdadero peligro: un instalador MSI que se encarga de descargar el troyano en el dispositivo.
En este caso, lo preocupante es que, aparentemente, el mensaje podría pasar por legítimo: no contiene faltas de ortografía ni errores gramaticales, la fecha que aparece en la parte inferior suele coincidir con el día en que llegó a la bandeja de entrada y la dirección de correo podría parecer oficial, lo que hace más difícil detectar su autenticidad a primera vista.
Algunos consejos
Si has descargado el archivo, pero no lo has abierto, probablemente, no estés en riesgo. Si, por el contrario, lo has ejecutado, la historia cambia. Es posible que Grandoreiro ya haya infectado tu dispositivo, por lo que es conveniente hacer un análisis del sistema usando un antivirus actualizado y realizar la limpieza correspondiente.
Para evitar ser víctimas de este tipo de estafas, la OSI recomienda verificar la autenticidad del remitente, no pinchar en los enlaces de los mensajes, sino escribir directamente la URL en el navegador, no proporcionar nunca datos personales ni bancarios a través de Internet y realizar copias de seguridad regularmente.
Asimismo, ofrecen una serie de claves para saber si tu dispositivo está comprometido. Si tus herramientas de protección están deshabilitadas, el equipo se reinicia sin motivo aparente, aparecen aplicaciones que no hayas instalado o desaparecen otras, el consumo de batería ha aumentado significativamente, el rendimiento ha disminuido y tu navegador habitual funciona de forma errática, podrías empezar a sospechar.
Imagen de Elchinator en Pixabay