Correo suplantando a la Agencia Tributaria intenta robar información personal

Estando inmersos en plena campaña de la renta, no es extraño ver como los delincuentes tratan de aprovechar la ocasión para usarla como cebo. Todos los años vemos como se propagan correos y webs fraudulentas que tratan de infectarnos con malware o robar nuestros datos privados, incluyendo los relacionados con las tarjetas de crédito. Este año no ha sido la excepción y también se han detectado campañas como la que analizamos a continuación.

Un correo de la Agencia Tributaria

Si hay una suplantación de un organismo oficial, junto con la Dirección General de Tráfico, que suelen aprovechar los delincuentes de forma periódica, esa es la de la Agencia Tributaria. Los correos electrónicos son uno de los medios favoritos para propagar este tipo de amenazas y, con las fechas que son, muchos de los usuarios ya habrán presentado la declaración de la renta, o estarán a punto de hacerlo.

Es por eso que encontrarnos con un correo que nos avise de un supuesto fraccionamiento en el pago de la declaración no sorprenda a muchos usuarios. Menos aun si hacen caso al supuesto remitente de estos emails, ya que en la dirección aparece el nombre y el dominio de la Agencia Tributaria española.

Sin embargo, estos datos son fácilmente modificables y la gran mayoría de usuarios no van a detenerse a analizar la cabecera completa del correo para ver si este resulta ser legítimo. Es más, probablemente procedan a descargarse el fichero adjunto al mensaje, pensando que puede ser algo importante o por simple curiosidad. Este fichero está comprimido para ocultar su verdadera extensión, pero si lo abrimos veremos como, en su interior, oculta un archivo ejecutable.

Este archivo es el encargado de iniciar la cadena de infección en el dispositivo Windows de la víctima, tratándose de un viejo conocido como es Guloader. Esta amenaza es utilizada por varios grupos de delincuentes para descargar posteriormente otro tipo de malware, como pueden ser spyware e infostealers de familias tan conocidas como Agent Tesla, Formbook, Nanocore, Remcos o Lokibot.

En lo que respecta a la propagación de esta campaña, al menos en las primeras horas tras su detección, esta parecería estar centrada en España y Portugal, aun con una tasa de propagación no demasiado elevada, aunque esto podría cambiar en las próximas horas o incluso días.

En cualquier caso, la utilización de la campaña de la renta no es algo nuevo y, a pesar de los aviso y concienciación que se ha estado realizando durante los últimos años, este tipo de plantillas siguen funcionando relativamente bien a los delincuentes.

Conclusión

La mejor forma de evitar caer en este tipo de trampas es acudir siempre a la fuente original, contactando en este caso con la Agencia Tributaria a través de los múltiples canales que pone a disposición de los ciudadanos, y evitar descargar ficheros o pulsar sobre enlaces incluidos en coreos no solicitados, por mucho que parezcan venir de contactos de confianza u organismos oficiales. Contar con una solución de seguridad eficaz nos ayudará además a que correos como este lleguen siquiera a nuestra bandeja de entrada.

Josep Albors

ESET lanza una nueva oferta de soluciones para Telco e ISP