Según ha revelado la empresa de ciberseguridad ESET, se ha detectado durante los últimos días la difusión de dos campañas de e-mail a empresas españolas —unos, haciéndose pasar por la Agencia Tributaria, otros por la FNMT (Fábrica Nacional de Moneda y Timbre)— que se ajustan, sin embargo, a pautas muy similares.
Ambos correos recurren a asuntos que llaman poderosamente la atención (avisos de notificación relativa al pago de impuestos o a la supuesta caducidad de un certificado) para favorecer su apertura y lectura. Igualmente, ambos han sido enviados en horarios similares y muestran poca diferencia en las fechas de modificación de los archivos maliciosos adjuntos.
Además, los ciberdelincuentes han sido capaces de suplantar las direcciones de email legítimas (ya hemos abordado en el pasado esta táctica) para que los e-mails recibidos por las víctimas parezcan estar relacionados con el organismo oficial correspondiente. Así, el usuario, convencido de su autenticidad, estará menos predispuesto a desconfiar de las peticiones del e-mail.
Otro detalle relevante es que ambos e-mails (el de la Agencia Tributaria y el de la FNMT) comparten infraestructura para el envío de las credenciales robadas, utilizando servidores de empresas españolas que previamente han sido comprometidas.
Un análisis detenido de ambos e-mails podría revelar sutiles errores en la redacción y uso del lenguaje, lo que debería servir de indicativo de la naturaleza engañosa de estos correos. Pese a ello, si el receptor no presta suficiente atención, podría considerar estos mensajes como legítimos.
Una de las tácticas adoptadas por estos ciberdelincuentes es adjuntar a los e-mails archivos comprimidos en formato RAR, que ocultan en su interior un ejecutable malicioso. A pesar de ser una técnica algo arcaica, aún logra engañar a usuarios que, inadvertidamente, podrían descargar y ejecutar dicho archivo en sus sistemas.
Estos archivos maliciosos contienen el conocido Agent Tesla —que lleva años siendo uno de los malwares más detectados en España— y, una vez activados, buscan robar información vital del equipo. En concreto, van tras los datos de inicio de sesión almacenados en aplicaciones habituales como navegadores web, clientes de correo, clientes VPN, etc.
La naturaleza coordinada de estos ataques sugiere que no estamos ante dos campañas aisladas, sino ante una operación mayor y más organizada, probablemente gestionada por un único grupo de ciberdelincuentes.