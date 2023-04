Arxiu - Logotip de l'Agència Tributària en una mampara en una Oficina d'aquesta agenca - Hisenda

Actors maliciosos han llançat una campanya de suplantació de l' Agència Tributària a través de correus electrònics per al robatori de credencials, aprofitant els mesos en què es fa la declaració de la renda per crear confusió.



En concret, s'han identificat durant els darrers dies dos tipus de correu maliciós que simulen ser una notificació de l'Agència Tributària per enganyar l'usuari . En aquests correus els ciberdelinqüents utilitzen tècniques ja conegudes, com són la suplantació d'un lloc web per robar credencials i l'enviament d'arxius adjunts infectats amb el malware infostealer per robar informació personal.



Així ho ha advertit la companyia de ciberseguretat ESET en un comunicat, que ha identificat aquests atacs i insisteix en la importància de prestar atenció a aquests e-mails, sobretot ara que s'inicia la campanya de la declaració de la Renda 2022.



En aquest sentit, en alguns correus, els actors maliciosos envien un enllaç que porta l'usuari a una web fraudulenta que simula ser l'oficial de l'Agència Tributària. Per incentivar que l'usuari premi aquest enllaç, els ciberdelinqüents indiquen que és un avís d'una notificació enviat per aquest organisme. D'aquesta manera, perquè l'usuari pugui accedir a la suposada notificació se'ls ofereix un enllaç directe.



Un cop es polsa a l'enllaç, els actors maliciosos dirigeixen l'usuari a un web fraudulent que simula ser el web oficial de l'Agència Tributària. Tot i això, es tracta d'una pàgina falsa que té una aparença i un disseny molt similars a l'oficial, fins i tot, segons apunta ESET, un domini que resulta creïble i un certificat de seguretat.



Dins de la pàgina, l'objectiu dels actors maliciosos és el de robar les credencials dels usuaris, encara que no és clar quines dades precises es pretenen obtenir, ja que poden ser credencials de correu electrònic o qualsevol altra dada relativa a l'Agència Tributària , com apunten des de la signatura de ciberseguretat. Un cop obtenen les dades, els ciberdelinqüents les utilitzen posteriorment per accedir a altres serveis o vendre'ls com a tràfic d'informació.



Tot i això, es pot identificar que es tracta d'un engany analitzant la URL, que inclou detalls que revelen que es tracta d'un web fals. Per exemple, a la URL dels correus analitzats apareix l'extensió '.bz' que fa referència als dominis de Belize, una cosa estranya per a una web governamental espanyola. En cas de tractar-se del web oficial de l'Agència Tributària apareixerien les extensions '.gob' i '.es'.



Així mateix, segons va comprovar ESET en investigacions respecte a aquest domini, es tracta d'una web registrada fa al voltant de dos mesos des de Moscou, cosa que "hauria d'encendre totes les alarmes". Seguint aquesta línia, tot i que el web està dotat amb un certificat de seguretat, cosa que s'identifica amb la icona del cadenat tancat que apareix a la barra de cerca, aquesta característica només indica que les dades enviades des del dispositiu de l'usuari a el web es transmeten per un canal xifrat, no que es tracti d'un web segur en si, i no implica cap garantia que l'usuari estigui navegant per un lloc web legítim.



A més, tal com va verificar la companyia de ciberseguretat a través de Certificate Viewer, aquest certificat també es va obtenir molt recentment, concretament a finals de març, fet que es converteix en "un altre indicatiu que es tracta d'una web fraudulenta".



D'altra banda, l'aparença d'aquests correus electrònics és idèntica a la plantilla utilitzada en una altra campanya d'atacs identificada al gener, segons detalla ESET. Hi apareixen dades específiques que simulen de manera precisa els correus oficials d'aquest organisme. No obstant això, en aquest cas, en comptes de fer referència a una comunicació postal, ara els actors maliciosos fan referència a una notificació electrònica.



'EMAIL' AMB INFOSTEALER



L'altre tipus de correu electrònic identificat en aquesta campanya de suplantació de l'Agència Tributària inclou un document maliciós que descarrega el malware infostealer. Així, amb aquest correu els actors maliciosos pretenen robar la informació personal que estigui emmagatzemada en els sistemes del dispositiu que quedin infectats.



En aquest cas, l'email també utilitza l'excusa d'un avís d'una suposada notificació de l'Agència Tributària, però també es fa referència al remitent a la Fàbrica Nacional de Moneda i Timbre, tot això per tal de semblar un avís creïble i guanyar-se la confiança de lusuari.



D'aquesta manera, els actors maliciosos inclouen a l''email' un document identificat com a 'AEAT - Avís de Notificació administrativa', donant a entendre als usuaris que l'han d'obrir per accedir al contingut de la notificació.



Concretament, es tracta d'un fitxer adjunt comprimit que, lluny d'incloure una notificació, conté un fitxer '.bat' on es troba el codi maliciós que executa la fase inicial del 'malware' infostealer.



Sobre això, tal com ha assenyalat ESET, es basa en una variant del troià identificada com a 'NSIS/Injector.BVJ trojan'. Aquest tipus de 'malware' descarrega i executa al sistema infostealer, que d'aquesta manera aconsegueix atacar l'usuari robant les seves credencials personals tant en aplicacions instal·lades al dispositiu infectat, com introduïdes en navegadors d'Internet, al correu electrònic o, fins i tot, a l'accés a VPNs.



Per tot això, tal com ha indicat el director de Recerca i Conscienciació d'ESET Espanya, Josep Albors, els usuaris han d'aprendre a “identificar aquest tipus de correus maliciosos per descartar-los només rebre'ls i comptar amb solucions de seguretat capaces d'identificar les amenaces que solen contenir".