Alerta por un correo que suplanta a la Agencia Tributaria e intenta robar información personal

En plena campaña de la renta no es extraño que los ciberdelincuentes aprovechen la ocasión para usarla como cebo. Todos los años vemos cómo se propagan correos y webs fraudulentas que tratan de infectarnos con malware o robar nuestros datos privados, incluyendo los relacionados con las tarjetas de crédito. Este año también se han detectado campañas como la que analiza Josep Albors, director de investigación y concienciación de ESET España, y en la que se utiliza un correo que suplanta a la Agencia Tributaria con el objetivo de robar información personal.

Si hay una suplantación de un organismo oficial, junto con la Dirección General de Tráfico, que suelen aprovechar los delincuentes de forma periódica, esa es la de la Agencia Tributaria. Los correos electrónicos son uno de los medios favoritos para propagar este tipo de amenazas y, con las fechas que son, muchos de los usuarios ya habrán presentado la declaración de la renta, o estarán a punto de hacerlo.

Es por eso que encontrarnos con un correo que nos avise de un supuesto fraccionamiento en el pago de la declaración no sorprenda a muchos usuarios. Menos aún si hacen caso al supuesto remitente de estos emails, ya que en la dirección aparece el nombre y el dominio de la Agencia Tributaria española.

Sin embargo, estos datos son fácilmente modificables y la gran mayoría de usuarios no van a detenerse a analizar la cabecera completa del correo para ver si este resulta ser legítimo. Es más, probablemente procedan a descargarse el fichero adjunto al mensaje, pensando que puede ser algo importante o por simple curiosidad. Este fichero está comprimido para ocultar su verdadera extensión, pero si lo abrimos veremos como, en su interior, oculta un archivo ejecutable.

Este archivo es el encargado de iniciar la cadena de infección en el dispositivo Windows de la víctima, tratándose de un viejo conocido como es Guloader. Esta amenaza es utilizada por varios grupos de delincuentes para descargar posteriormente otro tipo de malware, como pueden ser spyware e infostealers de familias tan conocidas como Agent Tesla, Formbook, Nanocore, Remcos o Lokibot.

En lo que respecta a la propagación de esta campaña, al menos en las primeras horas tras su detección, esta parecería estar centrada en España y Portugal, aun con una tasa de propagación no demasiado elevada, aunque esto podría cambiar en las próximas horas o incluso días.

ESET recuerda que la mejor forma de evitar caer en este tipo de trampas es acudir siempre a la fuente original, contactando en este caso con la Agencia Tributaria a través de los múltiples canales que pone a disposición de los ciudadanos, y evitar descargar ficheros o pulsar sobre enlaces incluidos en coreos no solicitados, por mucho que parezcan venir de contactos de confianza u organismos oficiales. Contar con una solución de seguridad eficaz nos ayudará además a que correos como este lleguen siquiera a nuestra bandeja de entrada.