A pesar de que hace bastantes semanas que terminó el plazo para presentar la declaración de la renta, este 2020 está siendo un año de todo menos normal y eso lo vemos también en la actividad de los ciberdelincuentes. Durante varios meses pudimos ver cómo se suplantaban organismos oficiales para propagar varias amenazas, entre ellos la Agencia Tributaria, y ahora vemos como vuelven a usarla como gancho para obtener nuevas víctimas.
Correo suplantando a la Agencia Tributaria
Durante la mañana de hoy, 11 de agosto, se ha estado propagando un correo electrónico haciéndose pasar por la Agencia Tributaria Española. Este correo usa un remitente falso como “Administración Tributaria contato[at]acessofinanceiro[.]com” para tratar de engañar a los usuarios que reciban el email y hacerles creer que están ante una comunicación oficial de esta agencia.
En el escueto cuerpo del mensaje vemos que se hace mención a la descarga de un archivo zip que, supuestamente, contiene un comprobante fiscal digital. También se avisa de que hay documentación pendiente de presentar ante la Agencia Tributaria y una cantidad pendiente de abonar. A pesar de que el cuerpo del mensaje no ofrece ninguna garantía de ser una comunicación oficial, es probable que algunos usuarios se asusten al verlo y procedan a descargar el fichero zip desde el enlace proporcionado.
Este enlace redirige a un dominio que ha sido registrado hoy mismo, por lo que solo tiene unas horas de antigüedad en el momento de escribir estas líneas. Además, en la información proporcionada por el WHOIS podemos comprobar que el país de procedencia del registrador del dominio es Brasil, lo cual ya nos hace pensar por dónde pueden ir los tiros.
Descarga y ejecución
La cadena de infección es similar a la que ya hemos visto anteriormente en varios casos de propagación de troyanos bancarios brasileños y consiste, primeramente, en la descarga de un archivo que los delincuentes han ubicado en un dominio comprometido o en algún servicio de alojamiento de ficheros. En este caso observamos como, desde el enlace anterior, se nos redirige a otro enlace de Dropbox donde se encuentra el fichero zip que nos solicita su apertura o descarga.
Este fichero zip contiene a su vez un archivo MSI y otro GIF, siendo el MSI el que nos interesa analizar y que, tal y como podemos comprobar al revisar sus propiedades, fue compilado en el día de ayer. Cabe destacar que en el archivo zip podemos observar el código de país ES al final del nombre y que hemos detectado otros archivos similares alojados en Dropbox con un tamaño y fecha de compilación muy similar pero con un código diferente, lo que posiblemente indicaría que esta campaña estaría realizándose en varios países a la vez.
En lo que respecta a la detección, vemos que el archivo MSI es detectado por las soluciones de seguridad de ESET como una variante de Win32/TrojanDownloader.Delf.CYA, un malware encargado de descargar a su vez otras amenazas en el sistema, más concretamente aquellas relacionadas con las familias de troyanos bancarios brasileños como Grandoreiro, Casbaneiro, Mekotio o Mispadu.
En este caso, estamos ante una nueva variante del troyano bancario Grandoreiro, que ha estado especialmente activo en nuestro territorio desde hace varias semanas.
Conclusión
La suplantación de la Agencia Tributaria Española y otras agencias similares de varios países es una técnica que viene empleándose desde hace años para propagar amenazas durante las campañas de pago de impuestos. Sin embargo, este año esta suplantación ha sido aprovechada principalmente por troyanos bancarios brasileños y amenazas especializadas en el robo de información, incluso cuando ya hace bastantes semanas que la campaña de la renta terminó, por lo que debemos permanecer alerta y desconfiar de correos como el analizado hoy, a la vez que contamos con una solución de seguridad capaz de detectar y neutralizar estas amenazas.