Denúncia falsa de l’Agència Tributària

En les últimes setmanes estem veient com els delinqüents no tenen cap inconvenient a suplantar organismes governamentals per tractar d’aconseguir els seus objectius. Si ahir ens fèiem ressò d’un correu que es feia passar pel Ministeri de l’Interior, avui analitzem un altre correu també rebut a principis d’aquest mes que suplanta la identitat de l’Agència Tributària i que ens recorda a una campanya similar que es va realitzar a principis d’abril.

Correu de l’Agència Tributària

L’ús de l’Agència Tributària com a ganxo no és una cosa nova, i fa anys que els delinqüents vénen suplantant la seva identitat en correus suposadament oficials, especialment durant la campanya de la renda. No obstant això, també poden utilitzar de forma maliciosa el nom d’aquest organisme governamental tal com anem a comprovar a continuació.

El correu electrònic que s’envia inclou logos oficials per fer-lo més convincent i esmenta una suposada denúncia contra la nostra empresa per una suposada factura no declarada. Si revisem el remitent, veurem com s’utilitza el domini “agenciatributaria.net”, que si bé és un domini amb força antiguitat, NO ESTÀ RELACIONAT amb l’Agència Tributària espanyola de cap manera (i de fet, es troba a la venda).

La redacció del text és adequada i utilitza un llenguatge formal, sense fer faltes d’ortografia, aconseguint que molts dels usuaris que rebin aquest missatge no sospitin de trobar-se davant una suplantació d’identitat i premin sobre l’enllaç que se’ls ofereix. Com a dada curiosa, en la signatura del missatge apareix referenciat el domini legítim www.agenciatributaria.es.

Si el receptor d’aquest correu clica sobre l’enllaç proporcionat serà redirigit a algun dels llocs webs compromesos que han estat utilitzats pels delinqüents per a aquesta campanya. En tots i cada un d’ells es pot veure la mateixa pantalla simulant ser part de la seu electrònica i oferint la descàrrega de tres documents associats a aquesta suposada denúncia.

Si procedim a descarregar aquests documents observarem que estem davant arxius Excel en els dos primers punts, i que aquests es descarreguen des d’un altre domini que els delinqüents han preparat també per fer-se passar per l’Agència Tributària.

També s’estan rebent nous emails suplantant a l’Agència Tributària amb la diferència que, en aquesta campanya, el fitxer .xls maliciosos s’adjunta directament al correu en lloc de proporcionar un enllaç per a baixar.

Ejecució del malware

Un cop la víctima s’ha descarregat aquests fitxers i procedeix a obrir el full de càlcul, comprovem com els atacants utilitzen la tècnica d’ocultar macros malicioses en arxius ofimàtics. Al prémer sobre l’opció d’habilitar l’edició comença la cadena d’execució del malware, contactant amb dominis preparats pels delinqüents per descarregar nous arxius infectats corresponents a la següent fase d’aquesta amenaça.

A continuació podem veure com es realitzen diverses peticions a un dels dominis controlats pels atacants que acaben descarregant i executant arxius en el sistema infectat.

L’arxiu 1.exe (que també s’ha observat amb altres noms en aquest atac) és el payload que conté el troià en si. Aquesta amenaça és detectada per les solucions de seguretat d’alguns antivirus com el troià Win32/TrojanDownloader.Zurgop.DA.

La fi última dels delinqüents darrere d’aquest atac és el robatori d’informació com, per exemple, credencials emmagatzemades en navegadors, aplicacions de FTP i similars. Aquestes credencials poden usar-se posteriorment per accedir als serveis en línia de la víctima en recerca de més informació, o fins i tot per preparar atacs més dirigits a les empreses on els empleats hagin caigut en el parany preparat pels atacants i hagin descarregat i executat els arxius maliciosos.

Conclusión

Tornem a comprovar, una vegada més, com el correu electrònic segueix sent una de les portes d’entrada més utilitzades a l’hora de realitzar atacs. Si bé moltes d’aquestes amenaces poden arribar a ser detectades per les solucions de seguretat instal·lades en els equips de l’empresa, no hem d’oblidar la situació que estem vivint actualment, amb molts empleats treballant des de casa, sense les defenses perimetrals amb què compten a l’oficina i amb equips desprotegits però amb accés a informació sensible, de manera que hem d’estar especialment atents a aquest tipus de correus i revisar les vegades que calgui per no caure en aquest tipus de trampes.