Invoice Email SPAM

Conocido también como: troyano TrickBot
Tipo: Troyano
Propagación: Baja
Nivel de peligrosidad: Extremo

Guía de eliminación del virus "Invoice Email SPAM"

¿Qué es "Invoice Email SPAM"?

"Invoice Email SPAM" (también conocido como "Outstanding Invoice Email SPAM") es una campaña de correo electrónico no deseado que se utiliza para propagar un troyano de alto riesgo llamado TrickBot. Este "Invoice Email SPAM" comparte muchas similitudes con una serie de otras campañas de spam, como (por ejemplo), eFax, Important Documents IRS y, especialmente, HM Revenue & Customs Outstanding Amount. El texto dentro de los correos electrónicos de "Invoice Email SPAM" puede diferir, aunque el mensaje entregado sea esencialmente idéntico: el usuario supuestamente recibió una factura (a través de un archivo adjunto de MS Word) y debe pagar. Sin embargo, tenga en cuenta que el archivo adjunto es malicioso y está diseñado para descargar e instalar el malware TrickBot.

Malware

Como se mencionó, los mensajes de correo electrónico indican que los pagos no se han enviado y alienta a los usuarios a abrir el archivo adjunto de MS Word, que contiene una factura. Ésto es un fraude. Los ciberdelincuentes intentan engañar a los usuarios crédulos para que abran un archivo malicioso que infecta el sistema. El texto de los correos electrónicos de la campaña "Invoice Email SPAM" puede variar, ya que los ciberdelincuentes registran varios dominios web y direcciones de correo electrónico con los nombres de empresas legítimas y departamentos gubernamentales. Estas URL/direcciones de correo electrónico se utilizan para enviar spam; es más fácil dar la impresión de legitimidad cuando el remitente está familiarizado con el usuario. Tenga en cuenta que TrickBot es un malware de alto riesgo. Secuestra los navegadores web y recopila varios inicios de sesión/contraseñas. Los datos recopilados se envían a un servidor remoto controlado por ciberdelincuentes. Estas personas pueden recibir información confidencial (por ejemplo, los delincuentes pueden obtener acceso a las redes sociales, cuentas bancarias, etc. de los usuarios). La presencia de este malware puede provocar pérdidas económicas importantes o incluso el robo de identidad. Por lo tanto, el seguimiento de datos puede dar lugar a graves problemas de privacidad o incluso al robo de identidad. Si ha abierto correos electrónicos/archivos adjuntos que pertenecen a una campaña de spam "Invoice Email SPAM", debe escanear inmediatamente el sistema con un paquete antivirus/antispyware de buena reputación y eliminar todas las amenazas detectadas.

Resumen de la Amenaza:
Nombre troyano TrickBot
Tipo de Amenaza Trojan, Password stealing virus, Banking malware, Spyware
Síntomas Los troyanos están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos de Distribución Archivos adjuntos al correo electrónico infectados, anuncios maliciosos online, ingeniería social, cracks de software.
Daño Información bancaria robada, contraseñas, robo de identidad, la computadora de la víctima es agregada a una botnet.
Eliminación

Para eliminar troyano TrickBot, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

TrickBot es prácticamente idéntico a docenas de otros virus de tipo troyano, como Pony, Adwind, FormBook, y muchos otros. Al igual que TrickBot, estos virus también se distribuyen mediante campañas de spam. Además, su comportamiento también es muy similar: todos recopilan datos. Algunos troyanos también están diseñados para distribuir otros virus (normalmente, ransomware). Por lo tanto, estos virus representan una amenaza directa para su privacidad y seguridad de navegación en Internet.

¿Cómo "Invoice Email SPAM" infectó mi computadora?

"Invoice Email SPAM" viene junto con archivos adjuntos maliciosos de MS Word presentados como facturas. Después de abrir estos archivos, se solicita a los usuarios que habiliten los comandos de macro; de lo contrario, el contenido no se mostrará correctamente. Sin embargo, al hacerlo, los usuarios otorgan permiso para que los archivos adjuntos ejecuten scripts que descarguen/instalen malware de forma sigilosa. Tenga en cuenta que esto solo funcionará si el archivo adjunto se abre con el programa MS Word. Si el archivo se abre con otro software capaz de leer estos formatos, los scripts no se ejecutarán. Además, el malware solo se dirige al sistema operativo Windows y, por lo tanto, los usuarios que ejecutan otras plataformas están seguros.

¿Cómo evitar la instalación de malware?

Las principales razones de las infecciones informáticas son el escaso conocimiento y el comportamiento descuidado. Por lo tanto, preste mucha atención al navegar por Internet. Piense dos veces antes de abrir archivos adjuntos de correo electrónico. Si el archivo parece irrelevante o se ha recibido de un correo electrónico sospechoso/irreconocible, nunca debe abrirse; estos correos electrónicos deben eliminarse sin leerlos. Además, algunos troyanos se distribuyen mediante el método de "empaquetado" (instalación sigilosa de aplicaciones maliciosas junto con software normal) y actualizaciones falsas. Por lo tanto, tenga cuidado al descargar/instalar/actualizar software. Analice cuidadosamente cada ventana de los cuadros de diálogo de descarga/instalación y cancele todos los programas incluidos adicionalmente. Sus programas deben descargarse solo de fuentes oficiales, utilizando enlaces de descarga directa. Además, mantenga actualizadas las aplicaciones instaladas. Para lograr esto, utilice las funciones o herramientas implementadas proporcionadas únicamente por el desarrollador oficial. También recomendamos encarecidamente que tenga instalado y en ejecución un paquete antivirus/antispyware legítimo. Las versiones más recientes (2010 y posteriores) de MS Office abren los archivos recién descargados en "Modo protegido", lo que evita que los archivos adjuntos maliciosos descarguen/instalen malware. Por lo tanto, se recomienda encarecidamente que evite el uso de versiones antiguas. La clave para la seguridad informática es la precaución. Si ya ha abierto un archivo adjunto "Invoice Email SPAM", le recomendamos que realice un análisis Malwarebytes para eliminar automáticamente el malware infiltrado.

Ejemplos de mensajes presentados en varios mensajes de correo electrónico "Invoice Email SPAM":

Subject: RE: Outstanding INVOICE BIA/066250/5423
The invoices came to us very late. Both are enclosed in attachement.
hxxp://www.perezdearceycia.cl/
alexa.ballantine@gmail.com

 

------------------------------------------------------


Subject: INCORRECT INVOICE
We are waiting for the confirmation from your side so that we can send you the Invoice & Credit card link to process the payment and start the services. If you have any queries, please feel free to contact us. We hope for a positive reply.
hxxp://cqfsbj.cn/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Jamacapq@sbcglobal.net

 

------------------------------------------------------

 

Subject: Outstanding INVOICE XOJR/7763411/6403
We have not received payment or an update on when the overdue invoices will be paid. Our payment terms are strictly 30 days. Please let me know when these invoices will be paid. Please see below the list of overdue invoices:
hxxp://minami.com.tw/
Regards
Priyanka Kapadia

 

------------------------------------------------------


Subject: Outstanding INVOICE FQOVN/2773110/730
Please see below the list of overdue invoices, of which 223.00 euro is due since last month. Can you please advise when payment will be made.
hxxp://www.legionofboomfireworks.com/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Thanks
Kira Holden

 

------------------------------------------------------


Subject: Invoice Number 55057
Last one year we started to charge for CRB check. They pay us first and we apply for CRB. =0DI do not have invoices.
hxxp://www.caglarturizm.com.tr/
Kind Regards,
andy

 

------------------------------------------------------

Subject: Final Account
Please find attached your confirmation documents. What you need to do Urgently Print off, sign and scan/send back the full proposal form within 7 days
hxxp://www.jxprint.ru/
Many Thanks
CYNTHIA HARRY

Adjunto malicioso distribuido a través de la campaña "Invoice Email SPAM":

Adjunto malicioso distribuido a través de la campaña de spam

Eliminar automáticamente de forma instantánea troyano TrickBot: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con troyano TrickBot. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Malwarebytes. Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Ejemplo de un proceso malicioso ejecutándose en la computadora del usuario

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Captura de pantalla de la aplicación Autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga autoruns.zip y ejecute autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Haga clic en 'Opciones' en la parte superior y desmarca las opciones 'Ocultar ubicaciones vacías' y 'Ocultar entradas de Windows'

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Localice el archivo de malware que desea eliminar

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscando archivos de malware en su computadora

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware. Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus.

Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Malwarebytes.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
troyano TrickBot Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de troyano TrickBot desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de troyano TrickBot:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.