Cuidado si recibes un email desde la Agencia Tributaria o la FNMT: aunque el remitente parezca oficial, puede infectar tu PC

  • A veces, ni siquiera asegurarnos de que el dominio de origen de un email es el correcto sirve de nada

  • Estos dos campañas (dos partes de una iniciativa mayor) adjuntan ejectuables del malware Agent Tesla

Losiconos
2 comentarios Facebook Twitter Flipboard E-mail

Según ha revelado la empresa de ciberseguridad ESET, se ha detectado durante los últimos días la difusión de dos campañas de e-mail a empresas españolas —unos, haciéndose pasar por la Agencia Tributaria, otros por la FNMT (Fábrica Nacional de Moneda y Timbre)— que se ajustan, sin embargo, a pautas muy similares.

Ambos correos recurren a asuntos que llaman poderosamente la atención (avisos de notificación relativa al pago de impuestos o a la supuesta caducidad de un certificado) para favorecer su apertura y lectura. Igualmente, ambos han sido enviados en horarios similares y muestran poca diferencia en las fechas de modificación de los archivos maliciosos adjuntos.

Fnmt Similitudes entre ambos e-mails

Además, los ciberdelincuentes han sido capaces de suplantar las direcciones de email legítimas (ya hemos abordado en el pasado esta táctica) para que los e-mails recibidos por las víctimas parezcan estar relacionados con el organismo oficial correspondiente. Así, el usuario, convencido de su autenticidad, estará menos predispuesto a desconfiar de las peticiones del e-mail.

Otro detalle relevante es que ambos e-mails (el de la Agencia Tributaria y el de la FNMT) comparten infraestructura para el envío de las credenciales robadas, utilizando servidores de empresas españolas que previamente han sido comprometidas.

Un análisis detenido de ambos e-mails podría revelar sutiles errores en la redacción y uso del lenguaje, lo que debería servir de indicativo de la naturaleza engañosa de estos correos. Pese a ello, si el receptor no presta suficiente atención, podría considerar estos mensajes como legítimos.

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

Agent Tesla ataca de nuevo

Una de las tácticas adoptadas por estos ciberdelincuentes es adjuntar a los e-mails archivos comprimidos en formato RAR, que ocultan en su interior un ejecutable malicioso. A pesar de ser una técnica algo arcaica, aún logra engañar a usuarios que, inadvertidamente, podrían descargar y ejecutar dicho archivo en sus sistemas.

Exe

Estos archivos maliciosos contienen el conocido Agent Tesla —que lleva años siendo uno de los malwares más detectados en España— y, una vez activados, buscan robar información vital del equipo. En concreto, van tras los datos de inicio de sesión almacenados en aplicaciones habituales como navegadores web, clientes de correo, clientes VPN, etc.

La naturaleza coordinada de estos ataques sugiere que no estamos ante dos campañas aisladas, sino ante una operación mayor y más organizada, probablemente gestionada por un único grupo de ciberdelincuentes.

Vía | ESET

Imagen | Marcos Merino mediante IA

En Genbeta | Así funciona la estafa que muestra un falso SMS del BBVA y otros en el mismo hilo que los verdaderos (y es más fácil de lo que parece)

Comentarios cerrados
Inicio