Denuncia falsa de la Agencia Tributaria usada para robar información

| 05 Jun, 2020 | Ciberamenazas | 8 comentarios

En las últimas semanas estamos viendo como los delincuentes no tienen ningún reparo en suplantar organismos gubernamentales para tratar de conseguir sus objetivos. Si ayer nos hacíamos eco de un correo que se hacía pasar por el Ministerio del Interior, hoy analizamos otro correo también recibido en el día de ayer que suplanta la identidad de la Agencia Tributaria y que nos recuerda a una campaña similar que se realizó a principios de abril.

Correo de la Agencia Tributaria

El uso de la Agencia Tributaria como gancho no es algo nuevo, y hace años que los delincuentes vienen suplantando su identidad en correos supuestamente oficiales, especialmente durante la campaña de la renta. Sin embargo, también pueden usar de forma maliciosa el nombre de este organismo gubernamental tal y como vamos a comprobar a continuación.

El correo electrónico que se envía incluye logos oficiales para hacerlo más convincente y menciona una supuesta denuncia contra nuestra empresa por una supuesta factura no declarada. Si revisamos el remitente, veremos como se utiliza el dominio “agenciatributaria.net”, que si bien es un dominio con bastante antigüedad, no está relacionado con la Agencia Tributaria española de ninguna forma (y de hecho, se encuentra a la venta).

La redacción del texto es adecuada y utiliza un leguaje formal, sin cometer faltas de ortografía, consiguiendo que muchos de los usuarios que reciban este mensaje no sospechen de encontrarse ante una suplantación de identidad y pulsen sobre el enlace que se les ofrece. Como dato curioso, en la firma del mensaje aparece referenciado el dominio legítimo www.agenciatributaria.es.

Si el receptor de este correo pulsa sobre el enlace proporcionado será redirigido a alguno de los sitios webs comprometidos que han sido utilizados por los delincuentes para esta campaña. En todos y cada uno de ellos se puede ver la misma pantalla simulando ser parte de la Sede Electrónica y ofreciendo la descarga de tres documentos asociados a esta supuesta denuncia.

Si procedemos a descargar estos documentos observaremos que estamos ante archivos Excel en los dos primeros puntos, y que estos se descargan desde otro dominio que los delincuentes han preparado también para hacerse pasar por la Agencia Tributaria.

Actualización 05/06 13:45 – Se están recibiendo nuevos emails suplantando a la Agencia Tributaria con la diferencia de que, en esta campaña, el fichero .xls maliciosos se adjunta directamente al correo en lugar de proporcionar un enlace para su descarga, tal y como se observa en la imagen a continuación:

La imagen tiene un atributo ALT vacío; su nombre de archivo es Correo2-2.png

Ejecución del malware

Una vez la víctima se ha descargado estos ficheros y procede a abrir la hoja de cálculo, comprobamos como los atacantes utilizan la técnica de ocultar macros maliciosas en archivos ofimáticos. Al pulsar sobre la opción de habilitar la edición comienza la cadena de ejecución del malware, contactando con dominios preparados por los delincuentes para descargar nuevos archivos infectados correspondientes a la siguiente fase de esta amenaza.

A continuación podemos ver como se realizan varias peticiones a uno de los dominios controlados por los atacantes que terminan descargando y ejecutando archivos en el sistema infectado.

El archivo 1.exe (que también se ha observado con otros nombres en este ataque, tal y como se observa en la imagen anterior) es el payload que contiene el troyano en sí. Esta amenaza es detectada por las soluciones de seguridad de ESET como el troyano Win32/TrojanDownloader.Zurgop.DA.

El fin último de los delincuentes detrás de este ataque es el robo de información como, por ejemplo, credenciales almacenadas en navegadores, aplicaciones de FTP y similares. Estas credenciales pueden usarse posteriormente para acceder a los servicios online de la víctima en búsqueda de más información, o incluso para preparar ataques más dirigidos a las empresas cuyos empleados hayan caído en la trampa preparada por los atacantes y hayan descargado y ejecutado los archivos maliciosos.

Conclusión

Volvemos a comprobar, una vez más, como el correo electrónico sigue siendo una de las puertas de entrada más utilizadas a la hora de realizar ataques. Si bien muchas de estas amenazas pueden llegar a ser detectadas por las soluciones de seguridad instaladas en los equipos de la empresa, no debemos olvidar la situación que estamos viviendo actualmente, con muchos empleados trabajando desde casa, sin las defensas perimetrales con las que cuentan en la oficina y con equipos desprotegidos pero con acceso a información sensible, por lo que debemos estar especialmente atentos a este tipo de correos y revisarlos las veces que haga falta para no caer en este tipo de trampas.

Josep Albors

Indicadores de compromiso

Archivos analizados:

«Denuncia- factura no declarada.xls»
SHA1: 3e0beb4e397c12f1c9338c1b1cdce1111bdee738

«Denuncia – factura no declarada – 2019.xls»

SHA1: ddff335c360e1c0a99099d1a82f24b9bdfd21258

1.exe (muestra del 4 de junio)

SHA1: 3B022BEE6E626DEFE7FE5F879862D2968BF3854C

1.exe (muestra del 5 de junio)

SHA1: cbf3fe4380670a13c2199f0502c76e16c71ca307

Peticiones DNS:

utenti[dot]online

transvil2[dot]xyz

lendojekam[dot]xyz

lgrarcosbann[dot]club

flablenitev[dot]site

lpequdeliren[dot]fun

Conexiones IP
199.188[dot]200.75
151.139[dot]128.14

5.101[dot]6.231

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

8 Comentarios
  1. A.

    Buenas tardes,

    Yo he recibido este e-mail. En mi caso, no me ha aparecido ningún link, pero sí un archivo adjunto .xls., como detallan en su última actualización del artículo. Al abrir ese archivo (he cerrado inmediatamente), se me ha abierto una página Excel completamente en blanco y, por tanto, sin ofrecer la descarga de esos tres documentos. ¿Se ejecuta algo o no tengo nada por lo que preocuparme? Ni he descargado nada ni he abierto nada, a excepción de la hoja Excel en blanco.

    Gracias!

  2. Josep Albors

    Hola Alejandro,

    Todo depende de sí has habilitado la edición de la Excel cuando has procedido a abrirla, ya que esto inicia la cadena de infección descargando y ejecutando más ficheros maliciosos en el sistema. En caso afirmativo te recomendamos que realices un análisis del sistema con tu antivirus para eliminar todo rastro de este malware y, como medida de precaución, procedas a cambiar las contraseñas de cualquier servicio online que tengas guardado en navegadores.

    Saludos

  3. A.

    Gracias por la pronta respuesta! No tengo muy claro qué significa habilitar la edición de la Excel, pero, básicamente, he clicado, se ha abierto y he cerrado. Como decía, con la hoja completamente en blanco, sin aparecerme ningún tipo de contenido. Por otro lado, nunca guardo las contraseñas aunque me suponga la incomodidad de tenerlas que ingresar cada vez que accedo a algún servicio (no sé si esto ayuda o tiene algo que ver). De todos, seré precavido y haré caso del consejo. Gracias, una vez más.

  4. Josep Albors

    Hola Alejandro,

    Por defecto, cuando abres un documento de Microsoft Office como una Excel, este se encuentra en lo que se conoce como modo de vista protegida, lo que impide su edición o que se cargue código (malicioso en este caso). Esto suele venir representado por una barra amarilla en la parte superior del documento, con un boton solicitando que el usuario habilite la edición del documento. Si no has pulsado sobre ese botón, entonces no se ha cargado el código malicioso y el malware no se ha descargado en tu sistema.

  5. ed

    Buenos días
    En mi caso venía adjunto el excel y lo abrí con openoffice. Antes le pasé Bitdefender y Malware Bites y no encontró nada. Posteriormente a abrirlo y darme cuenta que podía ser un troyano, analicé el equipo con las herramientas mencionadas más Spybot y no encontró nada, qué me recomendarías. Muchas gracias

  6. Josep Albors

    Hola,

    OpenOffice puede ejecutar muchas macros de Excel pero, por motivos de seguridad, se debe activar esta opción de forma manual:

    https://wiki.openoffice.org/wiki/Documentation/FAQ/Macros/Can_I_use_my_Microsoft_Office_macros%3F

    En el caso de que no tuvieras esta opción activada, las macros maliciosas no se han podido ejecutar en tu sistema y no se ha podido descargar malware.

    Saludos

  7. A.

    Buenas tardes, de nuevo,

    En mi caso, al final lo llevé a un técnico el mismo viernes. No trabajé nada con el ordenador desde que recibiera ese correo electrónico, y, directamente, se lo dejé en sus manos. Según me ha comentado hoy, el virus existía en el equipo pero figuraba como inactivo y que, por tanto, no debo preocuparme, ya que ahora, el pc está limpio. ¿Es posible que esto haya sido (y sea) así? Soy nulo con la informática y con todo lo que le rodea y desconocía que el virus necesitase de algo más para «activarse».

  8. Josep Albors

    Hola,

    Es perfectamente posible que el malware se descargase en su sistema pero no llegase a ejecutarse toda la cadena de infección. En tu caso, al abrir la Excel pero no habilitar la edición, la siguiente fase del malware no llegó a descargarse y se quedó únicamente la hoja de cálculo como único resto malicioso.

    Saludos.

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..