La Agencia Tributaria y la FNMT usadas como gancho en una nueva campaña dirigida a empresas españolas

La suplantación de organismos gubernamentales en correos electrónicos y mensajes para captar la atención de posibles víctimas es algo a lo que los delincuentes nos tienen acostumbrados. Sin embargo, hay ciertas campañas que suelen repetirse periódicamente, como las que utilizan como gancho a entidades como la Agencia Tributaria, y si bien estas campañas suelen concentrarse alrededor de los meses en los que se realiza la declaración de la Renta, tampoco es extraño ver correos fuera de ese periodo como los que analizamos en este artículo.

Dos correos similares

Durante las últimas horas se han observado numerosos mensajes que hacen mención tanto a la Agencia Tributaria como a la FNMT (Fábrica Nacional de Moneda y Timbre) y que siguen pautas muy parecidas. Ambos correos usan asuntos que llaman la atención como un supuesto aviso de notificación y la supuesta caducidad de un certificado y su finalidad es que aquel que los reciba los abra. Además, los delincuentes han suplantado las direcciones de email para que parezcan estar relacionadas con los organismos oficiales.

Vemos también como estos correos adjuntan un fichero comprimido y hacen referencia a varios enlaces legítimos, relacionados con la administración pública para tratar de conseguir una mayor credibilidad. No obstante, la redacción del mensaje presenta una utilización del lenguaje un tanto extraña en algunas frases que podría ayudar a identificar su procedencia fraudulenta, aunque si un usuario solo lee estos mensajes de forma rápida es posible que termine creyendo que son legítimos.

En lo que respecta al fichero adjunto, observamos que se trata de un archivo comprimido en formato RAR que contiene en su interior un fichero ejecutable. Esta técnica es bastante rudimentaria y no evita su detección por parte de las soluciones de seguridad, aunque bastantes delincuentes siguen usándola para que los usuarios no sospechen del archivo adjunto y lo descarguen en sus sistemas.

Intento de robo de credenciales

Los ficheros infectados que los delincuentes intentan que los usuarios ejecuten en sus sistemas tienen como última finalidad el robo de información, más concretamente credenciales almacenadas en varias aplicaciones de uso cotidiano como clientes de correo, navegadores de Internet, clientes FTP o VPNs, entre otros. Estamos ante un nuevo caso de Infostealer protagonizado, de nuevo, por el código malicioso Agent Tesla, que hace años que se encuentra en las primeras posiciones de malware detectado en España.

Además, con la información obtenida durante el análisis podemos establecer relación entre ambos correos, puesto que se han enviado en un horario similar, ha pasado poco tiempo entre las últimas fechas de modificación de los ficheros infectados analizados y además comparten infraestructura para el envío de las credenciales robadas, usando para ello un servidor de correo de una empresa española previamente comprometida por los delincuentes.

Las credenciales se envían a cuentas de correos controladas por los atacantes usando el mismo servicio, una pista más que nos hace sospechar que estamos ante una única campaña en lugar de dos por separado preparada por el mismo grupo de delincuentes.

Conclusión

Aunque este tipo de correos maliciosos pueden ser fácilmente identificados por las soluciones de seguridad que tengamos implementadas y por usuarios concienciados, nunca debemos bajar la guardia puesto que los delincuentes solo necesitan un descuido por nuestra parte para conseguir su objetivo y comprometer toda la seguridad de nuestra empresa.

Josep Albors

La vulnerabilidad humana en la era de las ciberamenazas: cómo protegerse