Según ha informado ESET, un grupo de delincuentes está llevando a cabo campañas de phishing suplantando a la Agencia Tributaria, a través del correo electrónico, utilizando técnicas como la reutilización de plantillas y la inclusión de archivos adjuntos maliciosos.

En el primer caso, el objetivo es hacer que el usuario crea que ha recibido una notificación legítima de la Agencia y haga clic en un enlace que lo llevará a una página fraudulenta donde se le pedirán sus credenciales.

En el segundo caso, se adjunta un archivo comprimido que contiene un código malicioso destinado a robar información personal almacenada en los sistemas infectados. En ambos, los delincuentes tratan de generar confianza mediante el uso de remitentes aparentemente legítimos, pero en realidad son falsos.

Phishing Agencia Tributaria y Fábrica Nacional de La Moneda y Timbre
En los últimos días se ha visto que no solo se está propagando la misma campaña que la anterior, sino que también hay otro correo malicioso que contiene un archivo diseñado para robar información personal de los sistemas infectados. Esta técnica es más avanzada ya que utiliza un código malicioso para recopilar información en lugar de engañar al usuario para que la introduzca manualmente.

Así son las campañas que intentan suplantar a la Agencia Tributaria a punto de comenzar la declaración de la renta

  • El remitente del correo parece estar relacionado con la Fábrica Nacional de La Moneda y Timbre, pero es solo una táctica para generar confianza en las víctimas. Al igual que en el correo anterior, el correo informa de una supuesta notificación de la Agencia Tributaria y adjunta un archivo que algunos usuarios pueden abrir pensando que se trata de dicha notificación.
    Sin embargo, el archivo adjunto comprimido no contiene ningún documento que se asemeje a una notificación. En su lugar, encontramos un archivo .bat que en realidad es un archivo ejecutable con la extensión renombrada y que contiene el código malicioso responsable de ejecutar la fase inicial del malware.
  • Esta vez se trata de una variante del troyano NSIS/Injector.BVJ, utilizado frecuentemente por los delincuentes como malware de primera fase y que descarga y ejecuta en el sistema la carga maliciosa elegida para esta campaña. Este malware es del tipo infostealer y puede robar credenciales en aplicaciones como navegadores web, clientes de correo, clientes FTP y VPN, entre otras.

Dado que esta campaña está dirigida a los usuarios españoles, es probable que el mayor número de detecciones se estén produciendo en España, aunque en otros países se estén preparando y distribuyendo campañas similares adaptándolas a los organismos responsables de recaudar impuestos de cada país.