Desde hace unos días están circulando varias campañas de correos electrónicos maliciosos (phishing) dirigidas específicamente a usuarios españoles, con notificaciones que suplantan a la Agencia Estatal de Administración Tributaria (AEAT).
La primera de estas campañas fue detectada la semana pasada, según advirtió la compañía de ciberseguridad ESET el pasado 13 de marzo. No obstante, este mismo lunes el Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado un aviso, catalogado de alta importancia (nivel 4 sobre 5), en el que hace un llamamiento a la precaución ante una campaña muy similar que cuenta con "varias versiones del correo" y que también podría estar propagándose a través de SMS (smishing).
Difunde el troyano bancario Grandoreiro
Josep Albors, director de Investigación y Concienciación de ESET España, ha sido el encargado de dar la voz de alarma por parte de la firma de ciberseguridad. Lo ha hecho a través de una publicación en el blog de Ontinet, donde señala que el objetivo de esta campaña de phishing es infectar los dispositivos de las víctimas con Grandoreiro, "uno de los mayores exponentes del ecosistema de troyanos bancarios con origen en Latinoamérica".
Para lograrlo, los ciberdelincuentes se hacen pasar por la Agencia Tributaria e informan de una supuesta notificación en la Dirección Electrónica Habilitada única (DEHú), instando a los destinatarios a consultarla pulsando cualquiera de los enlaces que proporciona. Sin embargo, lo cierto es que los enlaces redirigen a una web controlada por los atacantes, que no tiene relación alguna con la Agencia Tributaria y en la que se invita a descargar un supuesto fichero PDF.
"Si un usuario conectado desde España pulsa sobre la opción de 'Descargar PDF' se procederá a descargar un fichero comprimido que, en su interior contiene un archivo Visual Basic Script (VBS), encargado de iniciar la cadena de infección" que tratará de comprometer el sistema con el troyano bancario Grandoreiro.
"Tras varios segundos, se muestra un nuevo mensaje de error indicando que hubo un error al tratar de visualizar el documento e invitando al usuario a reiniciar su ordenador. Para entonces, el sistema ya habrá quedado comprometido y los operadores de Grandoreiro podrán robar información relacionada especialmente con operaciones bancarias cuando la víctima trate de acceder a algún servicio de banca online", subraya Albors.
Además, Albors destaca otros dos relevantes aspectos sobre esta campaña, que saca a relucir haciéndose eco de mensajes compartidos en la red social X por expertos en ciberseguridad.
Por un lado, que los ciberdelincuentes envían sus e-mails desde un dominio 'correo[.]gob[.]es', con el que se suplanta una dirección de correo gubernamental para tratar de evadir los filtros antispam. Esta táctica se aprovecha de que el protocolo DMARC de este dominio no tiene una política configurada que permita rechazar o poner en cuarentena fácilmente los correos que suplanten al dominio legítimo, tal como resaltó el experto en ciberseguridad Lorenzo Martínez. Por otro lado, se ha detectado que los atacantes han configurado la descarga del fichero para que solo esté habilitada para usuarios que se conecten desde España, según apuntó el investigador español g0njxa.
Otras versiones que tratan de robar datos personales y bancarios
El INCIBE, por su parte, advierte que existen varias versiones del correo que utilizan los ciberdelincuentes para cometer su ataque, como puede ser el reembolso de impuestos o una notificación.
Se trata de campañas similares a la reportada por ESET, pero que persiguen un objetivo distinto, ya que no implican al troyano bancario Grandoreiro sino que tratan de robar datos personales y bancarios.
Según el aviso del INCIBE, las diferentes versiones de estos e-mails suelen incluir un enlace que redirige a una página web fraudulenta con la apariencia del portal oficial de la Agencia Tributaria. "La página dispone de un formulario en el que, conforme se vaya completando, se irán solicitando diferentes datos personales y, finalmente, bancarios".
"También hay sospechas de fraudes similares vía mensajes de texto, SMS", apunta.
Cómo detectar este tipo de ataques y cómo protegerse frente a ellos
Este tipo de campañas maliciosas pueden contener varias señales que ayudan a identificarlas antes de caer en la trampa. En esta línea, INCIBE insta a prestar atención a la dirección de correo del remitente, a la ortografía y gramática del mensaje, y a los enlaces que incorporan. "Antes de pulsar sobre ellos, pasa por encima para ver a dónde llevan y comprobar si es un sitio oficial".
Finalmente, para protegerse frente a estos ataques, ESET recomienda aplicar las siguientes medidas de seguridad:
- Desconfiar de correos no solicitados, sea cual sea el remitente.
- Evitar pulsar sobre enlaces o descargar ficheros que no sepamos a ciencia cierta lo que contienen.
- Activar la autenticación multifactor en cuentas bancarias y de acceso a cualquier servicio online.
- Contar con una solución de seguridad capaz de detectar y eliminar las amenazas.