La Oficina de Seguridad del Internauta de España (OSI) y la Guardia Civil han alertado acerca de una campaña de phishing que utiliza el nombre y logotipo de WhatsApp para distribuir un troyano bancario. Llega en forma de mail a tu correo simulando ser un mensaje de Whatsapp.
⚠#ALERTA ❗ Detectada campaña de emails suplantando a WhatsApp con un mensaje que descarga un #troyano. #NoPiques simula ser una copia de seguridad de las conversaciones y el histórico de llamadas e insta a pulsar sobre el enlace para descargarlo. https://t.co/j8faeDWsOs pic.twitter.com/P1XMqHvdCb— Guardia Civil 🇪🇸 (@guardiacivil) September 23, 2021
El falso correo electrónico intenta hacer creer a las potenciales víctimas que se trata de una comunicación oficial invitando a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería. Como se observa en la imagen que muestra cómo es el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado “Open_Document_513069.html”.

Un .zip que llega con un troyano bancario

Desde la empresa de seguridad ESET han descargado este archivo HTML que contiene una URL acortada mediante el servicio bitly. Según el análisis realizado del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga la amenaza. En este caso, se trata del troyano bancario Grandoreiro. Según los sistemas de ESET, esta variante es detectada como Win32/Spy.Grandoreiro.BB.

…