En concreto, se han identificado durante los últimos días dos tipos de correo malicioso que simulan ser una notificación de la Agencia Tributaria para engañar al usuario. En estos correos los ciberdelincuentes utilizan técnicas ya conocidas, como son la suplantación de un sitio web para robar credenciales y el envío de archivos adjuntos infectados con el 'malware' infostealer para robar información personal.
Así lo ha advertido la compañía de ciberseguridad ESET en un comunicado, quien ha identificado estos ataques e insiste en la importancia de prestar atención a estos 'emails', sobre todo, ahora que se inicia la campaña de la declaración de la renta.
En este sentido, en algunos de estos correos, los actores maliciosos envían un enlace que lleva al usuario a una web fraudulenta que simula ser la oficial de la Agencia Tributaria. Para incentivar que el usuario pulse dicho enlace, los ciberdelincuentes indican que se trata de un aviso de una notificación enviado por dicho organismo. De esta forma, para que el usuario pueda acceder a la supuesta notificación se les ofrece un enlace directo.
Una vez se pulsa en el enlace, los actores maliciosos dirigen al usuario a una web fraudulenta que simula ser la web oficial de la Agencia Tributaria. Sin embargo, se trata de una página falsa que tiene una apariencia y un diseño muy similares a la oficial, incluso, según apunta ESET, un dominio que resulta creíble y un certificado de seguridad.
Dentro de la página, el objetivo de los actores maliciosos es el de robar las credenciales de los usuarios, aunque no está claro qué datos precisos se pretenden obtener, ya que pueden ser credenciales de 'email' o cualquier otro dato relativo a la Agencia Tributaria, como apuntan desde la firma de ciberseguridad. Una vez obtienen los datos, los ciberdelincuentes los utilizan posteriormente para acceder a otros servicios o venderlos como tráfico de información.
No obstante, se puede identificar que se trata de un engaño analizando la URL, que incluye detalles que revelan que se trata de una web falsa. Por ejemplo, en la URL de los correos analizados aparece la extensión '.bz' que hace referencia a los dominios de Belize, algo extraño para una web gubernamental española. En caso de tratarse de la web oficial de la Agencia Tributaria aparecerían las extensiones '.gob' y '.es'.
Asimismo, según comprobó ESET en investigaciones respecto a este dominio, se trata de una web registrada hace alrededor de dos meses desde Moscú lo que, "debería encender todas las alarmas".
Siguiendo esta línea, a pesar de que la web está dotada con un certificado de seguridad, algo que se identifica con el icono del candado cerrado que aparece en la barra de búsqueda, esta característica solo indica que los datos enviados desde el dispositivo del usuario a la web se transmiten por un canal cifrado, no que se trate de una web segura en sí, y no implica ninguna garantía de que el usuario esté navegando por un sitio web legítimo.
Además, tal y como verificó la compañía de ciberseguridad a través de Certificate Viewer, este certificado también se obtuvo muy recientemente, concretamente a finales de marzo, lo que se convierte en "otro indicativo de que se trata de una web fraudulenta".
Por otra parte, la apariencia de estos correos electrónicos es idéntica a la plantilla utilizada en otra campaña de ataques identificada en el mes de enero, según detalla ESET. En ella, aparecen datos específicos que simulan de forma precisa los correos oficiales de este organismo. Sin embargo, en este caso, en vez de hacer referencia a una comunicación postal, ahora los actores maliciosos se refieren a una notificación electrónica.
'Email' con infostealer
El otro tipo de correo electrónico identificado en esta campaña de suplantación de la Agencia Tributaria incluye un documento malicioso que descarga el 'malware' infostealer. Así, con este correo los actores maliciosos pretenden robar la información personal que se encuentre almacenada en los sistemas del dispositivo que queden infectados.
En este caso, el 'email' también utiliza la excusa de un aviso de una supuesta notificación de la Agencia Tributaria, pero en el remitente también se hace referencia a la Fábrica Nacional de Moneda y Timbre, todo ello con el fin de parecer un aviso creíble y ganarse la confianza del usuario.
De esta forma, los actores maliciosos incluyen en el 'email' un documento identificado como 'AEAT - Aviso de Notificación administrativa', dando a entender a los usuarios que deben abrirlo para acceder al contenido de la notificación.
Concretamente, se trata de un archivo adjunto comprimido que, lejos de incluir una notificación, contiene un fichero '.bat' en el que se encuentra el código malicioso que ejecuta la fase inicial del 'malware' infostealer.
Al respecto, tal y como ha señalado ESET, se basa en una variante del troyano identificada como 'NSIS/Injector.BVJ trojan'. Este tipo de 'malware' descarga y ejecuta en el sistema infostealer, que de esta forma consigue atacar al usuario robando sus credenciales personales tanto en aplicaciones instaladas en el dispositivo infectado, como introducidas en navegadores de Internet, en el correo electrónico o, incluso, en el acceso a VPNs.
Por todo ello, tal y como ha indicado el director de Investigación y Concienciación de ESET España, Josep Albors, los usuarios deben aprender a "identificar este tipo de correos maliciosos para descartarlos nada más recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener".