Una de las campañas recurrentes que los delincuentes vienen realizando desde hace años es la que aprovecha la campaña de la renta para suplantar a la Agencia Tributaria española. No obstante, estas campañas han ido evolucionando con el tiempo, y si hace unos años solo las encontrábamos durante los meses en los que estaba activa la campaña de la renta, ahora no es extraño detectar correos con este tipo de suplantación durante el resto del año.
Correo con adjunto infectado
A lo largo de los años hemos ido viendo como los delincuentes han ido empleando diferentes técnicas para, aprovechándose del nombre de la Agencia Tributaria, tratar de engañar a los usuarios para que pulsen sobre un enlace o abran un adjunto malicioso, usando varios tipos de formato de ficheros. Precisamente, desde hace unas semanas estamos viendo que han vuelto a resurgir este tipo de campañas, tal y como alertó recientemente la Oficina de Seguridad del Internauta.
En los últimos días, y más concretamente en la madrugada de este domingo al lunes, se ha usado en especial la siguiente plantilla contra usuarios españoles, un correo donde supuestamente se nos adjunta información relacionada con el fraccionamiento del pago de la declaración de la renta.
Esta plantilla de correo coincide con la que mostraron hace unos días desde la propia Agencia Tributaria en la web que dedican para alertar a los ciudadanos de este tipo de fraudes. En esa web se mantiene un listado actualizado de los correos más recientes que utilizan los delincuentes para tratar de conseguir nuevas víctimas, por lo que recomendamos visitarla periódicamente.
Un usuario avispado puede ser capaz de sospechar de un correo como este, pero si nos fijamos tanto en el remitente del mensaje como en el cuerpo del mismo, observaremos que como remitente aparece una dirección aparentemente relacionada con la Agencia Tributaria y el cuerpo del mensaje se encuentra correctamente redactado, algo que puede hacer que algunos usuarios se confíen y caigan en la trampa.
Revisando y detectando la amenaza
A pesar de que los delincuentes han tratado de hacer pasar por legítimo su correo, es posible detectar la suplantación revisando, por ejemplo, la cabecera del correo. Ahí podemos observar que, por mucho que se intenten hace pasar por la Agencia Tributaria, el remitente original no tiene nada que ver con la administración pública española.
De hecho, tirando del hilo podemos llegar al servicio de webmail mal configurado que los delincuentes han estado aprovechando para lanzar, al menos, esta última oleada de correos fraudulentos. No obstante, el detalle más importante en el que deben fijarse los usuarios que reciban un correo de este tipo es el fichero adjunto. Las muestras recibidas en nuestro laboratorio han sido analizadas y eliminadas por el antivirus, aunque podemos ver que el fichero comprimido en formato RAR contenía un archivo ejecutable que es el responsable de ejecutar el código malicioso preparado por los delincuentes.
Esta estrategia es muy utilizada cuando se quiere infectar a la víctima con algún tipo de infostealer para así robar información privada como credenciales de acceso a servicios online de todo tipo, ya sean de uso personal como corporativo. Por ese motivo debemos ir con mucho cuidado a la hora de abrir ficheros adjuntos enviados por email, desconfiando especialmente de aquellos que no hayamos solicitado aunque el remitente nos parezca de confianza.
Tampoco debemos olvidar que, en los últimos años, la Agencia Tributaria ha sido usada como gancho para propagar varios tipos de amenazas, por lo que cualquier comunicación que recibamos haciéndose pasar por ella, deberíamos ponerla en cuarentena hasta que confirmemos que se trata de un correo legítimo.
Conclusión
A pesar de ser una suplantación habitual por estas fechas, los delincuentes confían en que sigan cayendo muchos usuarios en su trampa, y por eso preparan estas campañas de forma periódica. Por ese motivo es importante aprender a reconocer estos emails maliciosos y contar con una solución de seguridad que sea capaz de detectar y eliminar las amenazas que suelen adjuntar.