Recursos Afectados

Cualquier persona que haya recibido el correo mencionado anteriormente y haya descargado y ejecutado el archivo.

Descripción

Identificada una campaña de distribución de malware que suplanta a la Agencia Tributaria mediante la técnica phishing. El pretexto del mensaje es la necesidad de corregir unos datos, ya que se ha identificado una diferencia en el IRPF. El correo va acompañado de un enlace, el cual descarga un archivo comprimido que contiene un ejecutable (archivo.exe) con un código fraudulento.

Solución

Si has recibido un correo supuestamente de la Agencia Tributaria informándote de la necesidad de corregir algún dato, pero no has entrado en el enlace y descargado el archivo, márcalo como spam y elimínalo de tu bandeja de entrada.

Si por el contrario has descargado el archivo, pero no lo has ejecutado, elimínalo tanto de tu carpeta de descargas como de la papelera de reciclaje.

En cambio, si has descargado el archivo y ejecutado para resolver la supuesta incidencia, es importante que tomes las siguientes medidas:

  • Asegúrate de desconectar de la red de tu hogar el dispositivo para evitar que el malware pueda llegar a otros dispositivos.
  • Ejecuta el antivirus y realiza un análisis exhaustivo. Asegúrate de que este esté actualizado. Si tu dispositivo sigue infectado, plantéate formatear o resetear tu dispositivo para desinfectarlo. De esta forma, se perderán todos los datos almacenados, por lo que deberías realizar copias de seguridad frecuentemente para conservar los archivos importantes.
  • Guarda evidencias como capturas de pantalla y el email del fraude por si fuese necesario interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Puedes utilizar el servicio de testigos online para certificar el contenido de las pruebas.

Si quieres descubrir cómo evitar este tipo de ataques y otros parecidos sigue nuestros consejos de prevención.

Detalle

Una nueva campaña suplantando a la Agencia Tributaria tiene como objetivo infectar los dispositivos de los usuarios. Esta se difunde por medio del phishing, una técnica de ingeniería social, en la cual el correo distribuye, a través de un enlace, un malware conocido como AutoIT v3 Script. Al ser ejecutado, este malware se encargará de utilizar el sistema para llevar acabo procesos en segundo plano, lo que provocará que el rendimiento del dispositivo se vea afectado.

La finalidad de este ataque es que el usuario que reciba dicho correo alarmado por el mensaje, descargue y ejecute el archivo comprimido (.zip), haciendo que el malware entre en funcionamiento.

Algunas características que nos hacen sospechar de la veracidad del correo son:

  • Se utiliza un tono de urgencia para incitar a la víctima a realizar las acciones que se le solicitan.
  • La redacción del siguiente correo contiene faltas de ortografía y de redacción, pudiendo ser esto una pista de su falsedad.
  • El dominio del remitente no tiene relación con el de la Agencia Tributaria.

e muestra un correo, supuestamente enviado por la Agencia Tributaria, en dodne cominica al receptor que han identificado diferencias en su IRPF y que debe de adjuntar dichos datos en el enlace que viene en el cuerpo del correo.

El asunto utilizado para este correo: ‘Identificamos diferencias en tu IRPF- [código de referencia]

Al hacer clic en el enlace del correo, redirige a una URL que descarga un archivo en el dispositivo. El nombre del archivo puede variar.

Se muestra la ventana del navegador y en esta se ve como se descarga un fichero comprimido.

El archivo comprimido será descargado en la carpeta por defecto ‘Descargas’ o en su lugar la que el usuario tenga configurada.

Se muestra una ventana de descarga, con el fichero descargado comprimido y una carpeta con el fichero descomprimido.

Este contendrá un fichero que, al descomprimirlo, a simple vista se puede llegar a pensar que es un documento .pdf, pero si prestamos atención, se puede observar en sus propiedades que realmente se trata de un ejecutable .exe.

Se muestra una ventana la cual se ve un fichero, y otra ventana con las propiedas de dicho archivo.

Al ejecutarse el archivo, el dispositivo quedará infectado por el malware AutoIt v3 Script, el cual mostrará a la víctima notificaciones falsas de alerta para que esta descargue software de terceros potencialmente maliciosos.

Fuente: INCIBE.ES