La Jefatura Superior de Policía de La Rioja ha emitido una advertencia sobre una reciente campaña de suplantación de identidad que busca distribuir malware a través de correos electrónicos fraudulentos. Estos mensajes, que pretenden ser enviados por la Fábrica Nacional de Moneda y Timbre (FNMT), informan a los destinatarios sobre la posibilidad de descargar un archivo adjunto que supuestamente contiene su identificación y certificado de NIF. Sin embargo, el archivo en cuestión es un ejecutable disfrazado de archivo .iso, diseñado para infectar el dispositivo del usuario con código malicioso.

La campaña, que se ha identificado como un intento de phishing, tiene como objetivo distribuir un stealer conocido como 'GuLoader/Agent Tesla'. Este malware busca obtener información personal de los usuarios mediante la suplantación de entidades como la FNMT y la Agencia Tributaria (AEAT). Los correos electrónicos fraudulentos aseguran que el destinatario puede descargar un archivo adjunto que contiene su identificación y certificado de NIF. Sin embargo, el archivo es en realidad un ejecutable que aparenta ser un archivo .iso, pero está diseñado para infectar dispositivos con código malicioso.

Estos correos electrónicos fraudulentos notifican a los usuarios que pueden descargar su certificado de NIF, ya sea desde un archivo adjunto o a través de un enlace a una URL incluida en el mensaje. Un ejemplo del asunto utilizado en estos correos es 'Disponibilidad del certificado FNMT-RCM', aunque los ciberdelincuentes pueden emplear otros asuntos diferentes. El remitente intenta aparentar legitimidad simulando la dirección de la FNMT (fnmt.es), utilizando una técnica conocida como email spoofing.

La policía de La Rioja alerta sobre correos falsos que suplantan a la FNMT

El objetivo de los ciberdelincuentes es que la persona que reciba el email descargue el supuesto certificado. Una vez descargado, al ejecutarlo, se activa el malware que contiene, provocando la infección del dispositivo. Al pulsar sobre el archivo adjunto, este se descargará a la carpeta configurada por defecto, que normalmente es la carpeta de 'Descargas'. En el momento en que se ejecuta, el dispositivo queda infectado por el malware 'GuLoader/VIPKeyLogger', cuyo propósito es tomar el control del dispositivo infectado, robar información personal de la víctima y utilizarla para cometer otros fraudes.

El análisis de este archivo .iso en plataformas como VirusTotal revela que se trata de un virus troyano. La Policía de La Rioja insta a los usuarios a ser cautelosos con los correos electrónicos inesperados que solicitan la descarga de archivos adjuntos. La recomendación es verificar siempre la legitimidad del remitente antes de abrir cualquier archivo adjunto o hacer clic en enlaces sospechosos. Además, es crucial mantener el software antivirus actualizado para detectar y prevenir posibles amenazas de malware.