National Cybersecurity Institute (Incibe) har utfärdat en brådskande varning om en ny nätfiskekampanj som drabbar egenföretagare och småföretag. Den massiva attacken, som upptäcktes i slutet av förra veckan, syftar till att imitera National Currency and Stamp Factory (FNMT), i syfte att lura användare med dess digitala signaturcertifikat, och tvinga dem att ladda ner en infekterad fil. Problemet vid detta tillfälle är bedrägeriets enorma rimlighetsamt vikten av dessa certifikat, som egenföretagare använder för att utföra hundratals procedurer med administrationen via Internet.
Enligt Incibe, Effekten av denna kampanj på egenföretagargruppen kan bli förödande. Eftersom de flesta företag inom dessa segment är beroende av sin elektroniska signatur för att utföra alla typer av officiella procedurer, och alla säkerhetsincidenter som äventyrar deras enheter kan innebära allt från förlust av kritisk data till stöld av pengar, för att inte tala om kidnappning av information .
Speciellt, den senaste kampanjen distribuerar skadlig programvara via e-post bedräglig, simulerar en officiell kommunikation från FNMT, som är just den institution som ansvarar för att utfärda dessa digitala certifikat. Således informerar meddelandet som mottagarna får dem om den förmodade tillgängligheten av deras dokument, och uppmanar dem att ladda ner en bifogad fil som i verkligheten döljer en skadlig körbar fil.
Som Incibe rapporterade är en karakteristisk aspekt av detta e-postmeddelande dess ämne, som vanligtvis använder titeln ”FNMT-RCM-certifikatets tillgänglighet”. Det är dock inte uteslutet att andra liknande texter kan användas, alla för att skapa en sken av officiell och brådskande karaktär. Avsändaren verkar också vara en FNMT-adress, med ett konto under den falska domänen fnmt.es, och använder e-postspoofing-tekniker. (e-postförfalskning), som får budskapet att verka mer än legitimt. Vad kan få någon oförsiktig person att falla för detta bedrägeri Designad speciellt för egenföretagare.
Meddelandet skickar en körbar fil som infekterar frilansares enheter
För sin del har den bifogade filen slutet .iso, som vanligtvis förknippas med diskavbildningar, men som Windows kan öppna som standard som ett komprimerat dokument. I verkligheten är det en körbar fil som, när mottagaren öppnar den, helt infekterar enheten där meddelandet togs emot.
Enligt Incibe själv, När den här filen analyseras på VirusTotal-plattformen upptäcks den som ett mycket farligt trojanskt virus, som får poängen 10 av 10 i faroanalysen av Triage-verktyget, vilket bevisar den höga risk det innebär.
Han skadlig programvara kallas keylogger, Som denna tidning redan förklarade då, Det är en typ av datorprogram designad för att spela in och lagra varje tangenttryckning som användaren gör på sin dator, utan att användaren märker det. Dessa typer av infekterade program är särskilt farliga för småföretag, eftersom de tillåter cyberbrottslingar att få känsliga uppgifter, såsom åtkomstuppgifter till bankkonton, hanteringsplattformar eller e-postmeddelanden, förbigår obemärkt.
Rekommendationer för egenföretagare och företag för att undvika datastöld
Incibe rekommenderar att de som får ett mejl om dessa egenskaper Ladda inte ned den bifogade filen eller gå till någon länk i meddelandet. Om du har laddat ner den utan att köra den bör du ta bort den omedelbart och tömma papperskorgen. För de som redan har kört filen är instruktionerna:
- Koppla från den infekterade datorn från internet.
- Analysera utrustningen med en antivirus.
- Om infektionen kvarstår, överväg formatera enheten eller återställa den till fabriksinställningarna.
Dessutom, Incibe rekommenderar att offren samlar in alla möjliga bevissåsom skärmdumpar och e-postdata, så att de kan lämna in ett klagomål till statens säkerhetsstyrkor och organ. Det föreslår också att man implementerar ytterligare skyddsåtgärder, såsom användning av frekventa säkerhetskopior, vilket kan vara avgörande för att minimera effekten av en infektion i händelse av en attack.
Incibe upptäckte redan ett liknande fall för ett år sedan
Det är inte första gången som en identitetsstöldkampanj riktad mot spanska användare har upptäckts, som imiterar FNMT. För ett år sedan, I oktober 2023 varnade Incibe också för en liknande offensiv, där angriparna använde både FNMT:s och Skatteverkets (AEAT) identitet. Kampanjen hade som mål att distribuera skadlig programvara av typen stjälare, det vill säga utformad för att fånga personlig och konfidentiell information från infekterade enheter.
De bedrägliga mejlen från 2023 presenterade vissa slående detaljer som, även om de verkade ofarliga, var tydliga varningstecken: skrivfel, brist på officiella logotyper och en förvirrande struktur i meddelandet. Ämnena för dessa e-postmeddelanden inkluderade fraser som ”AEAT – Notification Notice” och ”Expiration of your FNMT Certificate”som också vädjar till brådskande för att fånga mottagarens uppmärksamhet.
Vid det tillfället, Angriparna – som aldrig slutar lära sig – använde filer med tillägget .blixtlås, som gömde skadlig programvara som aktiverades när de öppnades. E-postmeddelandena uppmanade mottagarna att agera omedelbart för att undvika negativa konsekvenser, en vanlig taktik för känslomässig manipulation vid denna typ av cyberattacker. Denna kampanj, liksom den nuvarande, hotade direkt säkerheten för egenföretagare och småföretag, särskilt sårbara för dessa sociala ingenjörstekniker som försöker få tillgång till deras digitala resurser.