No confíe en el email phishing SharePoint

Conocido también como: Posibles infecciones de malware
Tipo: Estafa
Propagación: Baja
Nivel de peligrosidad: Media

Guía de eliminación de la estafa por email de Sharepoint ("SharePoint Email Scam")

¿Qué es "SharePoint Email Scam"?

Como regla general, los estafadores detrás de los correos electrónicos de phishing intentan de manera fraudulenta obtener información o datos confidenciales, como nombres de usuario, contraseñas u otras credenciales, y detalles de tarjetas de crédito, disfrazando sus correos electrónicos como correos electrónicos de compañías, organizaciones legítimas, etc. Este correo electrónico en particular está disfrazado como una correo electrónico de SharePoint, los estafadores detrás de él intentan robar cuentas de Microsoft 365.

Campaña de correo spam

La investigación muestra que los estafadores detrás de este correo electrónico de phishing se dirigen a empresas y, a menudo, utilizan el nombre de la empresa del destinatario para hacer que este correo electrónico parezca recibido de una determinada empresa para la que trabaja el destinatario. El objetivo principal de los estafadores es engañar a los destinatarios para que hagan clic en el hipervínculo y sigan más instrucciones en el sitio web abierto. En el sitio web abierto, se pide a los destinatarios que hagan clic en un botón que supuestamente descargará algunos documentos. Sin embargo, ese botón descarga algún archivo PDF que contiene un enlace a otro sitio web o simplemente abre algún formulario de envío donde se solicita a los destinatarios que ingresen sus credenciales de inicio de sesión de Microsoft (Office) 365. En pocas palabras, el objetivo principal de los estafadores detrás de este correo electrónico es robar las credenciales antes mencionadas que les darían un control total de las cuentas de Microsoft 365. Significa que los estafadores pueden hacer un mal uso de las cuentas secuestradas para robar identidades, difundir este y otros correos electrónicos de phishing, robar más información de la organización comprometida, etc. Para evitar cualquiera de los posibles problemas graves, se recomienda encarecidamente no hacer clic en enlaces en correos electrónicos de este tipo. , descargue los archivos adjuntos y/o ingrese las credenciales de inicio de sesión en sitios web no oficiales.

Resumen de la Amenaza:
Nombre SharePoint Email Scam
Tipo de Amenaza Phishing, Scam, Social Engineering, Fraud
Falsa Afirmación Este email se disfraza como un correo sobre algunos documentos importantes
Disfraz Este email phishing a menudo se disfraza como un correo de la empresa del destinatario
Síntomas Compras en línea no autorizadas, cambio de contraseñas de cuentas en línea, robo de identidad, acceso ilegal a la computadora.
Métodos de Distribución Correos electrónicos engañosos, anuncios emergentes en línea fraudulentos, técnicas de envenenamiento de motores de búsqueda, dominios mal escritos.
Daño Pérdida de información privada sensible, pérdida monetaria, robo de identidad.
Eliminación

Para eliminar Posibles infecciones de malware, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

En resumen, los correos electrónicos de phishing suelen disfrazarse de oficiales, urgentes, importantes, etc. Es común que también se disfrazen de correos electrónicos de entidades legítimas. Vale la pena mencionar que los correos electrónicos pueden usarse no solo con fines de phishing, sino también para distribuir software malicioso, por ejemplo, troyanos, ransomware, mineros de criptomonedas y otro malware. Un par de ejemplos de otros correos electrónicos de phishing son "Server Notification Email Scam", "GitHub Email Scam" y "ShareFile Attachment Email Scam".

¿Cómo infectan las computadoras las campañas de spam?

Las computadoras pueden infectarse con malware a través de correos electrónicos (campañas de malspam) solo cuando los destinatarios abren archivos adjuntos maliciosos o archivos que se descargaron a través de enlaces maliciosos en ellos. Un par de ejemplos de archivos que los ciberdelincuentes suelen adjuntar a sus correos electrónicos son documentos maliciosos de Microsoft Office, documentos PDF, archivos ejecutables (como .exe), archivos de almacenamiento (como ZIP, RAR) y archivos JavaScript. Vale la pena mencionar que los documentos maliciosos de MS Office pueden infectar computadoras solo si los usuarios les otorgan permiso para habilitar la edición/contenido (comandos de macros). Sin embargo, los documentos maliciosos abiertos con una versión anterior de Microsoft Office 2010 provocan la instalación de software malicioso sin solicitar ningún permiso porque las versiones antes mencionadas no incluyen el modo Vista protegida.

¿Cómo evitar la instalación de malware?

Los programas, los archivos deben descargarse solo de sitios web oficiales y a través de enlaces directos. No se deben usar otros canales como descargadores (e instaladores) de terceros, sitios web no oficiales, redes Peer-to-Peer (por ejemplo, clientes de torrents, eMule). Los ciberdelincuentes los utilizan a menudo para distribuir archivos/programas maliciosos. El sistema operativo y los programas instalados deben ser actualizados y/o activados con funciones implementadas y/o herramientas que son proporcionadas (diseñadas) por los desarrolladores oficiales. No es legal utilizar ninguna herramienta de activación ('craqueo') no oficial. No se deben abrir archivos adjuntos y/o enlaces en correos electrónicos irrelevantes que se recibieron de direcciones desconocidas o sospechosas. Es común que este tipo de correos electrónicos sean enviados por ciberdelincuentes que intentan engañar a los destinatarios para que infecten sus computadoras con malware. Vale la pena mencionar que a menudo disfrazan sus correos electrónicos como importantes, oficiales, etc. Cualquier sistema operativo es más seguro si se analiza periódicamente con un software antivirus o antispyware de buena reputación. Por eso, recomendamos tener uno instalado y mantenerlo siempre actualizado. Si ya ha abierto archivos adjuntos maliciosos, le recomendamos que realice un análisis Malwarebytes para eliminar automáticamente el malware infiltrado.

Texto presentado en la correo electrónico de correo electrónico "SharePoint Email Scam":

Subject: Sharepoint file for -
Sharefile Attachments
Title    Size
Scan0507/July 2020.pdf    108 KB
Download Attachments    Kari Pemberton uses Sharefile  to share documents securely. Learn More.

 

Hi - ,

 

Attached is the info on the transfers Through our clients in this month of July. Let me know if you need anymore Details.

 

Thanks.

Kari Pemberton
Operation Officer
3550 Lakeline Blvd.
Ste 170, #1715
Leander, TX 78641
(512) 337-5521 OFFICE
(888) 302-3545 FAX
www.PacificaCapital.Net
 

Focused, value investing for long term results.
 
This email does not constitute any investment advice or any solicitation or offer to buy or sell any securities.  The sender makes no representation about the accuracy or completeness of the information in this email, and does not accept liability for any errors or omissions in its contents that arise as a result of its transmission.  Pacifica Capital Investments may monitor and review all emails sent to or from this address and such emails may be stored in accordance with regulatory requirements.  Pacifica Capital Investments only transacts business in states where it is properly registered, or excluded or exempted from registration requirements

Captura de pantalla de la segunda variante de este correo electrónico de phishing:

Otra variante de

Texto en este correo electrónico:

Subject: New - Management Message
Message from - server.
- SharePoint Team
- has sent an Important documents to you.
View - Documents
All signers completed Sharing documents: - Termination.pdf

Un ejemplo de correo electrónico no deseado con temática de SharePoint que se utiliza para promocionar un sitio web de phishing:

Correo electrónico no deseado de SharePoint que promueve un sitio de phishing

Texto presentado:

Subject: contact@espetitsgaulois.com shared  OrderQ0017.docx ...... with you on 10/13/2020 7:52:24 p.m.

 

contact@espetitsgaulois.com shared files with you
Here's the Secured documents that contact@espetitsgaulois.com shared with you.
OrderQ00179811.docx
Spec.57578489.pdf
This link will only work for (-).
Open

Captura de pantalla del sitio de phishing promocionado (sitio falso de inicio de sesión de SharePoint):

Sitio de inicio de sesión falso de SharePoint utilizado con fines de phishing

Otro correo electrónico no deseado con temática de SharePoint que se utiliza para promover un sitio web de phishing (sitio de inicio de sesión de WebMail falso):

Correo electrónico no deseado con temática de SharePoint (2020-11-10)

Texto presentado:

Subject: Files shared with you via shareonline

 

SharePoint

********

PDF file shared on ******** Server.

Date:9/11/2020
Re: REQUISITION AND ISSUANCE-SLIP 11/06/20

Documents will be deleted in 7 days
 
View Documents

Captura de pantalla del sitio web promocionado (kitestcon.web[.]app):

Sitio de inicio de sesión de Webmail falso (kitestcon.web[.]app) promocionado a través de correo electrónico no deseado con temática de SharePoint

Otro correo electrónico no deseado con temática de SharePoint que se utiliza para promover un sitio web de phishing:

Correo electrónico no deseado con temática de SharePoint que promociona un sitio web de phishing (2020-11-25)

Texto presentado:

Subject: SharePoint Access

Hi All

Please see the link below and let me know if you can access the SharePoint folder,
this will hold key marketing information, apps data and presentations and sales updates.

hxxps://sgidna.sharepoint.com/:f:/r/sites/ExternallyShared/Shared%20Documents/Training?csf=1&web=1&e=mA2Nfm

Thanks and very best regards.

codexdna.com
Dr. Tabisam Khan

Director of Channel Development & Partnering

+44 (0) 7555608122  |  tabisam@codexdna.com

9535 Waples Street, Ste 100 San Diego, CA 92121

SGI-DNA is now Codex

Apariencia del sitio web de phishing promocionado (GIF):

Sitio web de phishing promocionado a través de correos electrónicos no deseados con temática de SharePoint (2020-11-25)

Eliminar automáticamente de forma instantánea Posibles infecciones de malware: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Posibles infecciones de malware. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Malwarebytes. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación Autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Malwarebytes.

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Posibles infecciones de malware Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Posibles infecciones de malware desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Posibles infecciones de malware:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.