Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Se ha identificado una campaña de correos electrónicos que intentan suplantar al Ministerio de Trabajo, Migraciones y Seguridad Social para propagar malware. El correo, bajo el pretexto de informar al usuario sobre una notificación oficial sobre una posible investigación, invita al usuario a hacer clic sobre un enlace que, al pulsarlo, descarga un programa malicioso en el equipo de la víctima.

A continuación procedemos a detallar el funcionamiento de la campaña:

1- Los correos llegan con el asunto: "Denuncia Oficial, [caracteres aleatorios] se inició una investigación contra su empresa" y tienen el siguiente aspecto:

2- Al acceder al enlace se visualiza una página web con el siguiente formato:

3- El fichero descargado es de tipo Excel.

4- Una vez abierto muestra el siguiente mensaje:

5- En el caso de pulsar en el botón de "Enable Editing" se ejecuta una macro que descarga un fichero malicioso.

Por el momento, se han identificado remitentes desde los siguientes dominios: itss.es, itss.se e itss.app siendo el formato habitual del alias del remitente el siguiente: webitss[XXXXX]@itss.app, donde las XXXXX corresponden a caracteres aleatorios.

En este enlace, se encuentra disponible un análisis de una de las muestras. 

Los indicadores de compromiso de la campaña son los siguientes:

• IoC Frontales: 
  •  mariaforleo[.]it
  • greenwattgroup[.]com
  • [http://www.laspeziarevisioni[.]it]www.laspeziarevisioni[.]it

• IoC Servidor descarga malware:
  • mitramiss[.]digital

• IoC Servidor fase 2:
  • elarchivodelaesperanza[.]com

Desde el Basque Cybersecurity Centre hemos procedido a tomar las medidas técnicas oportunas para intentar evitar la propagación de la amenaza.

Si recibes este e-mail, o ante cualquier duda o problema relacionado con la ciberseguridad, puedes ponerte en contacto con nosotros a través del número de teléfono gratuito 900 104 891 o enviando un e-mail a [email protected] / [email protected].