TROYANO BANCARIO SE HACE PASAR POR LA AGENCIA TRIBUTARIA DE ESPAÑA
NO ABRIL CORREOS RECIBIDOS DESDE contato@acessofinanceiro[.]com
Los contribuyentes son uno de los grupos más expuestos a las actividades cibercriminales. Acorde a especialistas en seguridad en la nube, múltiples grupos de hackers maliciosos llevan meses operando campañas en las que tratan de hacerse pasar por agencias gubernamentales del gobierno español, especialmente la Agencia Tributaria, con el objetivo de engañar a los usuarios y conseguir dinero o acceso a su información confidencial.
La mayoría de estas campañas se relacionan con el troyano bancario conocido como Grandoreiro, detectado en múltiples ciberataques, principalmente en países latinoamericanos. En el caso de España, los hackers maliciosos han estado enviando correos electrónicos supuestamente provenientes de la Agencia Tributaria.
Esta campaña comenzó el 11 de agosto de 2020, cuando muchos ciudadanos españoles comenzaron a recibir correos enviados desde contato@acessofinanceiro[.]com. En el mensaje se pide a los usuarios que descarguen un archivo ZIP que contiene un supuesto recibo fiscal, haciendo énfasis en que resta un documento que debe ser presentado en conjunto con un monto a pagar.
El enlace adjunto redirige a los usuarios a un dominio registrado el mismo 11 de agosto. No obstante, la información enviada por el whois menciona que el país donde el registro se presentó es Brasil, un indicio de la identidad de los actores de amenazas.
En la investigación, llevada a cabo por los investigadores de ESET, también se ha identificado al troyano bancario Mekotio distribuido de forma similar.
EJECUCIÓN DEL MALWARE
La cadena de infección es prácticamente idéntica a la de otros troyanos bancarios, mencionan los expertos en seguridad en la nube. Para comenzar, los hackers colocan el archivo malicioso en un dominio comprometido o usando servicios de almacenamiento como Dropbox.
La carga útil ZIP contiene un archivo MSI y un GIF. También debe tenerse en cuenta que el nombre del archivo ZIP tiene el código de país “ES” al final.
Las soluciones de seguridad de ESET detectan este archivo MSI como una variante de Win32/TrojanDownloader.Delf.CYA, un downloader malicioso responsable de introducir otras variantes de malware en el sistema objetivo.
Es importante que los contribuyentes en España traten de permanecer alertas ante esta campaña maliciosa, pues es altamente probable que los actores de amenazas sigan enviando estos correos electrónicos de phishing. Aplicar filtros de correo electrónico y soluciones de seguridad siempre será buena opción para mitigar estos ataques.
Fuente: noticiasseguridad.com
