Una vez iniciada la campaña de la Renta 2022, los ciberdelincuentes también han comenzado su particular campaña, con una ciberestafa que suplanta a la Agencia Tributaria.
El objetivo es robar, a través de correos electrónicos, las credenciales de los usuarios y datos de carácter personal con el objetivo de acceder a otros servicios o venderlos como tráfico de información.
En concreto, se han identificado durante los últimos días dos tipos de correo malicioso que simulan ser una notificación de la Agencia Tributaria para engañar al usuario. En estos correos los ciberdelincuentes utilizan técnicas ya conocidas, como son la suplantación de un sitio web para robar credenciales y el envío de archivos adjuntos infectados con el malware infostealer para robar información personal.
Así lo ha advertido la compañía de ciberseguridad ESET en un comunicado, quien ha identificado estos ataques e insiste en la importancia de prestar atención a estos emails, sobre todo, ahora que se inicia la campaña de la declaración de la renta.
En algunos de estos correos, los actores maliciosos envían un enlace que lleva al usuario a una web fraudulenta que simula ser la oficial de la Agencia Tributaria. Para incentivar que el usuario pulse dicho enlace, los ciberdelincuentes indican que se trata de un aviso de una notificación enviado por dicho organismo. De esta forma, para que el usuario pueda acceder a la supuesta notificación se les ofrece un enlace directo.
Una vez se pulsa en el enlace, los actores maliciosos dirigen al usuario a una web fraudulenta que simula ser la web oficial de la Agencia Tributaria. Sin embargo, se trata de una página falsa que tiene una apariencia y un diseño muy similares a la oficial, incluso, según apunta ESET, un dominio que resulta creíble y un certificado de seguridad.
Dentro de la página, el objetivo de los actores maliciosos es el de robar las credenciales de los usuarios, aunque no está claro qué datos precisos se pretenden obtener, ya que pueden ser credenciales de email o cualquier otro dato relativo a la Agencia Tributaria, como apuntan desde la firma de ciberseguridad. Una vez obtienen los datos, los ciberdelincuentes los utilizan posteriormente para acceder a otros servicios o venderlos como tráfico de información.
No obstante, se puede identificar que se trata de un engaño analizando la URL, que incluye detalles que revelan que se trata de una web falsa. Por ejemplo, en la URL de los correos analizados aparece la extensión '.bz' que hace referencia a los dominios de Belize, algo extraño para una web gubernamental española. En caso de tratarse de la web oficial de la Agencia Tributaria aparecerían las extensiones '.gob' y '.es'.
Asimismo, según comprobó ESET en investigaciones respecto a este dominio, se trata de una web registrada hace alrededor de dos meses desde Moscú lo que, "debería encender todas las alarmas".
Siguiendo esta línea, a pesar de que la web está dotada con un certificado de seguridad, algo que se identifica con el icono del candado cerrado que aparece en la barra de búsqueda, esta característica solo indica que los datos enviados desde el dispositivo del usuario a la web se transmiten por un canal cifrado, no que se trate de una web segura en sí, y no implica ninguna garantía de que el usuario esté navegando por un sitio web legítimo.
Además, tal y como verificó la compañía de ciberseguridad a través de Certificate Viewer, este certificado también se obtuvo muy recientemente, concretamente a finales de marzo, lo que se convierte en "otro indicativo de que se trata de una web fraudulenta".
Por otra parte, la apariencia de estos correos electrónicos es idéntica a la plantilla utilizada en otra campaña de ataques identificada en el mes de enero, según detalla ESET. En ella, aparecen datos específicos que simulan de forma precisa los correos oficiales de este organismo. Sin embargo, en este caso, en vez de hacer referencia a una comunicación postal, ahora los actores maliciosos se refieren a una notificación electrónica.
El otro tipo de correo electrónico identificado en esta campaña de suplantación de la Agencia Tributaria incluye un documento malicioso que descarga el malware infostealer. Así, con este correo los actores maliciosos pretenden robar la información personal que se encuentre almacenada en los sistemas del dispositivo que queden infectados.
En este caso, el email también utiliza la excusa de un aviso de una supuesta notificación de la Agencia Tributaria, pero en el remitente también se hace referencia a la Fábrica Nacional de Moneda y Timbre, todo ello con el fin de parecer un aviso creíble y ganarse la confianza del usuario.
De esta forma, los actores maliciosos incluyen en el email un documento identificado como 'AEAT - Aviso de Notificación administrativa', dando a entender a los usuarios que deben abrirlo para acceder al contenido de la notificación.
Concretamente, se trata de un archivo adjunto comprimido que, lejos de incluir una notificación, contiene un fichero '.bat' en el que se encuentra el código malicioso que ejecuta la fase inicial del malware infostealer.
Comentarios