A continuación procedemos a detallar el funcionamiento de la campaña:
1- Los correos llegan con el asunto: "Denuncia Oficial, [caracteres aleatorios] se inició una investigación contra su empresa" y tienen el siguiente aspecto:
2- Al acceder al enlace se visualiza una página web con el siguiente formato:
3- El fichero descargado es de tipo Excel.
4- Una vez abierto muestra el siguiente mensaje:
5- En el caso de pulsar en el botón de "Enable Editing" se ejecuta una macro que descarga un fichero malicioso.
Por el momento, se han identificado remitentes desde los siguientes dominios: itss.es, itss.se e itss.app siendo el formato habitual del alias del remitente el siguiente: webitss[XXXXX]@itss.app, donde las XXXXX corresponden a caracteres aleatorios.
En este enlace, se encuentra disponible un análisis de una de las muestras.
Los indicadores de compromiso de la campaña son los siguientes:
Desde el Basque Cybersecurity Centre hemos procedido a tomar las medidas técnicas oportunas para intentar evitar la propagación de la amenaza.
Si recibes este e-mail, o ante cualquier duda o problema relacionado con la ciberseguridad, puedes ponerte en contacto con nosotros a través del número de teléfono gratuito 900 104 891 o enviando un e-mail a [email protected] / [email protected].