La nueva campaña que suplanta a la Agencia Tributaria para robar información

ESET ha explicado en qué consiste esta campaña que se dirige principalmente a los usuarios españoles y ha incrementado su intensidad en los últimos días.

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Campaña de phishing
Campaña de phishing

La campaña de la declaración de la renta es una ocasión ideal para los ciberdelincuentes a la hora de lanzar ataques en los que suplantan a la Agencia Tributaria. Sin embargo, la entidad española se ha convertido en un gancho recurrente para ellos en cualquier época del año, como refleja la campaña de phishing que circuló el pasado mes de junio y la que comenzó a finales de julio, la cual se ha vuelto especialmente intensa en los últimos días.

ESET ha dado la voz de alarma sobre esta nueva campaña, que también se está difundiendo en correos electrónicos maliciosos. Según señala la compañía de ciberseguridad, que aporta ejemplos de estos e-mails, en el cuerpo del mensaje se menciona una "notificación administrativa" como si fuera un trámite que tenemos pendiente con la Agencia Tributaria. Además, ESET subraya que el correo establece un plazo para consultar esta supuesta notificación, lo que puede llevar a los usuarios a sentir cierta urgencia y a no darse cuenta de detalles importantes como algunos mensajes en la redacción del correo.

E-mail de la nueva campaña que suplanta a la Agencia Tributaria
E-mail de la nueva campaña que suplanta a la Agencia Tributaria (Fuente: ESET)

Sin embargo, la firma de ciberseguridad advierte que una destacada novedad de estas campañas recientes es que utilizan como remitente a la Fabrica Nacional de Moneda y Timbre (FNMT) cuando, hasta hace poco, los ciberdelincuentes suplantaban directamente el dominio de la Agencia Tributaria.

"Es muy probable que la mayoría de usuarios piense que se trata de un correo legítimo, e incluso que alguno llegue a pensar que se ha hackeado el servidor de la FNMT. Sin embargo, una inspección más detallada de la cabecera desvela que estamos ante un caso más de 'spoofing' o suplantación de identidad mediante la modificación de la cabecera de correo", indica ESET, apuntando que el correo se ha enviado desde un servidor de correo previamente comprometido que no es uno de la FNMT, sino de una empresa que no tiene ninguna relación con este organismo.

Cabecera del e mail de la nueva campaña que suplanta a la Agencia Tributaria
Cabecera del e-mail de la nueva campaña que suplanta a la Agencia Tributaria (Fuente: ESET)

 

El objetivo de la campaña

Siguiendo la información de ESET, el objetivo de este correo es el mismo que en las otras muchas campañas analizadas en los últimos meses: que el usuario descargue el fichero adjunto, lo descomprima y lo ejecute, a pesar de comprobar cómo, una vez descomprimido, el archivo presenta una extensión EXE que debería hacer saltar todas las alarmas.

fnmt2
(Fuente: ESET)

En esta ocasión, como en otras muchas anteriores, el archivo contiene una muestra de GuLoader, código malicioso que utilizan numerosos ciberdelincuentes para propagar varias amenazas y que se usa como malware de primera fase para la descarga de otras ciberamenazas relacionadas con spyware.

"La finalidad de estas campañas es clara y conocida desde hace tiempo, y consiste en infectar sistemas con malware de familias como Agent Tesla o FormBook para robar credenciales almacenadas en aplicaciones de uso cotidiano como clientes de correo, navegadores de Internet, clientes FTP o VPNs, entre otros. Estas credenciales serán usadas posteriormente en ataques más dirigidos y que permiten acceder a la red corporativa para robar información credencial e incluso cifrarla para forzar el pago de un rescate. También pueden usarse las credenciales de correo robadas para seguir propagando esta y otras amenazas por email", alerta ESET.

En cuanto al impacto de esta campaña, la telemetría de la compañía de ciberseguridad evidencia que el país más afectado es España pero que también se están produciendo detecciones en otras naciones europeas.

Impacto de la nueva campaña que suplanta a la Agencia Tributaria
(Fuente: ESET)

"A pesar de utilizar plantillas de correo similares a otras vistas con anterioridad y no cambiar apenas las técnicas de distribución del malware, los delincuentes siguen obteniendo buenos resultados con estas campañas", afirma ESET, que concluye resaltando la necesidad de concienciarse, especialmente en entornos corporativos, de la importancia de utilizar y configurar soluciones de seguridad que eviten que este tipo de correos lleguen a las bandejas de entrada, así como de sospechar de cualquier mensaje no solicitado, aunque el remitente sea de confianza.