El troyano bancario Grandoreiro se hace pasar por la agencia tributaria española


Cuidado con el hombre del saco de impuestos: hay muchas estafas de impuestos

Aunque han pasado algunas semanas desde el apogeo de la temporada de impuestos sobre la renta en muchos países de todo el mundo, el año 2020 parece menos de lo ordinary, incluso para la actividad ciberdelincuente. Durante varios meses, varios actores de amenazas han intentado hacerse pasar por organizaciones gubernamentales, como la Agencia Tributaria, la agencia fiscal oficial de España. Aquí, echamos un vistazo a cómo los operadores de Grandoreiro, un infame troyano bancario latinoamericano, ha estado utilizando correos electrónicos haciéndose pasar por la Agencia Tributaria para atrapar a nuevas víctimas.

Correos electrónicos supuestamente enviados por la Agencia Tributaria

El 11 de agostoth, 2020, muchos españoles estaban recibiendo correos electrónicos que decían ser de la Agencia Tributaria. Estos mensajes utilizaban información de remitente falsa como “Servicio de Administración Tributaria” y la dirección de correo electrónico contato @ acessofinanceiro (.) Com para engañar a los destinatarios haciéndoles creer que habían recibido una comunicación oficial de la agencia tributaria.

En el cuerpo del mensaje, se indica al destinatario que descargue un archivo ZIP que supuestamente contiene un recibo fiscal digital. También advierte que queda un documento pendiente de presentar a la Agencia Tributaria junto con una tasa por pagar. Aunque el mensaje no ofrece garantía de ser una comunicación oficial, es probable que algunos destinatarios hayan sido engañados para que descarguen el archivo ZIP vinculado a través del enlace proporcionado.

El enlace redirige a un dominio que fue registrado el mismo día 11 de agosto. Sin embargo, mirando la información proporcionada por quien es – un servicio que proporciona información de identificación sobre los registrantes de nombres de dominio – el país del registrante aparece como Brasil, lo que quizás podría indicar el paradero de los operadores de esta campaña.

ESET también observó algunas campañas de Mekotio, otro troyano bancario latinoamericano, que se distribuye de la misma manera solo unos días después.

Descargar y ejecutar

La cadena de infección de esta campaña es típica de los troyanos bancarios latinoamericanos. En primer lugar, los operadores malintencionados han colocado el archivo que se va a descargar en un dominio comprometido o en un servicio de almacenamiento en la nube como Dropbox. En tales casos, el enlace en el correo no deseado dirige al destinatario a un enlace de Dropbox desde donde se puede abrir o guardar el archivo ZIP.

Esta carga útil ZIP contiene un archivo MSI y una imagen GIF. Al buscar las propiedades del archivo MSI, se revela que se compiló el día anterior, el 10 de agosto. También debe tenerse en cuenta que el nombre del archivo ZIP tiene el código de país “ES” al closing. Los investigadores de ESET también detectaron otros archivos en Dropbox con tamaños y fechas de compilación muy similares, pero con códigos de países diferentes, lo que posiblemente indica que esta campaña está dirigida a víctimas en varios países al mismo tiempo.

Las soluciones de seguridad de ESET detectan este archivo MSI como una variante de Win32 / TrojanDownloader.Delf.CYA, un tipo de descargador malicioso responsable de introducir otro malware en su sistema, especialmente de las familias de troyanos bancarios latinoamericanos, como Grandoreiro, Casbaneiro, Mekotio y Mispadu.

Detección de Acquire32 / TrojanDownloader.Delf.CYA del servicio ESET Danger Intelligence

En este caso, vemos una nueva variante del troyano bancario Grandoreiro que ha estado particularmente activo en España en las últimas semanas.

Conclusión

Hacerse pasar por la Agencia Tributaria de España u otras agencias similares es un viejo truco en el libro de los atacantes que se ha utilizado durante mucho tiempo, especialmente durante la temporada de impuestos. Sin embargo, aun cuando ya concluyó la temporada alta de impuestos a la renta, este año se ha visto que esta técnica está siendo utilizada por troyanos bancarios latinoamericanos y otras amenazas especializadas en el robo de datos.

Por esta razón, es importante permanecer alerta y evitar hacer clic en un enlace en un correo electrónico, a menos que esté absolutamente seguro de su procedencia verificando con el remitente, y considerar la posibilidad de que un correo electrónico pueda estar intentando hacerse pasar por una agencia gubernamental. El uso de una solución de seguridad sólida, capaz de detectar y neutralizar estas amenazas, contribuye en gran medida a aumentar su protección de forma rápida y sencilla.

Nota: una versión de este artículo en español apareció por primera vez en este site de Ontinet.com-ESET España y fue traducido por el escritor de contenido de relaciones públicas de ESET, René Holt.





Enlace a la noticia unique