Globomatik, mayorista nacional de nuevas tecnologías, celebrará el próximo 28 de septiembre el evento de inauguración de sus nuevas instalaciones y la conmemoración de sus 20 años de historia. La empresa, propiedad de los hermanos almerienses Luis y Juan Romero, en...
HP ha dado a conocer los resultados de su primer Índice sobre Relación con el Trabajo, un estudio integral que explora las relaciones de los empleados con el trabajo en todo el mundo*. El estudio, para el que se encuestaron a más de 15.600 profesionales de diversas...
El aceite de oliva, también denominado “oro líquido”, está sufriendo una de las peores crisis en las últimas décadas. La escasez de lluvias y el aumento de las temperaturas han jugado un papel clave en la bajada de la producción. Según los cálculos de la Unión de...
La ciudad de Sevilla será durante dos días la capital mundial de la industria del fútbol con la celebración de World Football Summit Europe (WFS Europe). Los días 20 y 21 de septiembre, el Palacio de Congresos y Exposiciones de Sevilla (FIBES) acogerá, desde las 9H de...
El fabricante de impresoras 3D Bambu Lab ha seleccionado a 3Dworld como su distribuidor para ventas y soporte post-venta del sector educativo en España. En apenas un año, Bambu Lab se ha expandido internacionalmente en más de 30 países gracias su velocidad de...
La vuelta al cole es siempre un motivo de estrés en las familias: libros, uniformes, horarios…, y ahora también dispositivos digitales. Llegaron a las aulas hace tiempo, se consolidaron con el COVID y ya forman parte indisoluble de los deberes escolares, con los...
Barracuda Networks, Inc. proveedor líder de soluciones de seguridad en el cloud, ha publicado su quinto informe anual Threat Spotlight Ransomware en el que analiza los patrones de ciberataques realizados entre agosto de 2022 y julio de 2023. Los investigadores de...
HP ha anunciado la nueva HP Z4 Rack G5, la estación de trabajo en rack 1U más potente del mundo (1).[i]) La Z4 Rack G5 está diseñada para revolucionar la forma en que los profesionales trabajan de manera remota. Su diseño compacto que ocupa 1U de Rack proporciona una...
Al revisar algunos de los correos recientes que los delincuentes han preparado para engañar a sus víctimas, vemos como no es extraño ver la reutilización de plantillas ya observadas en otros meses. Es el caso del primer ejemplo analizado hoy, donde podemos ver una plantilla prácticamente idéntica a otra analizada en el mes de enero, con la única diferencia de que en aquella se mencionaba una comunicación postal y en esta se menciona una notificación electrónica.
La intención de los delincuentes con el envío de este correo es provocar que el usuario que reciba este correo electrónico piense que realmente existe un aviso legítimo procedente de la Agencia Tributaria y pulse sobre el enlace preparado a tal efecto. Sin embargo, a pesar de que en el cuerpo del mensaje parece que se nos redirige a la web oficial, solamente con poner el cursor por encima podemos comprobar que la URL que se muestra no tiene nada que ver con el organismo oficial.
En el caso de que pulsemos sobre este enlace seremos redirigidos a una web con una plantilla que lleva varios meses utilizándose en campañas similares, pero que es ahora cuando resulta especialmente peligrosa al estar cerca del inicio de la campaña de la renta. En esta web fraudulenta observamos como se trata de imitar el diseño de la web legítima e incluso se ha registrado un dominio que pueda resultarnos familiar y se le ha dotado de un certificado de seguridad.
Sin embargo, no todo es lo que aparenta, y si nos detenemos a revisar detenidamente la URL de esta web comprobaremos que la extensión .bz corresponde a los dominios de Belize, por lo que no tiene sentido que una agencia española esté registrada allí. Pero si además revisamos la información relativa a este dominio, podemos comprobar que ha sido registrado hace apenas dos meses desde Moscú, lo que debería encender todas las alarmas.
Con respecto al certificado de seguridad, es ya una práctica común que los delincuentes lo incluyan en sus webs fraudulentas, ya que muchos usuarios siguen pensando que este certificado y el símbolo del candado que confirma su posesión significan que la web es segura. Nada más lejos de la realidad, ya que el certificado de seguridad solo nos indica que los datos enviados desde nuestro dispositivo a esta web se transmiten por un canal cifrado, no que la web sea segura.
En cualquier caso, este certificado se obtuvo hace apenas unos días, justo a tiempo para la campaña de phishing que están realizando los delincuentes, por lo que esta fecha cercana es otro indicativo claro de que nos encontramos ante una web fraudulenta.
DESCUBRE MAYORISTAS DE SEGURIDAD
El objetivo de los delincuentes al preparar este tipo de webs es el de robar credenciales de los usuarios. Sobre qué credenciales se obtienen, eso dependerá del usuario que acceda a la web fraudulenta, ya que al no quedar claro para qué servicio se piden estas credenciales, los usuarios pueden introducir desde sus credenciales de email hasta cualquier otra relacionada, en mayor o menor medida, con la Agencia Tributaria.
En cualquier caso, este tipo de campañas resultan fáciles de preparar para los delincuentes, y cualquier tipo de credenciales robadas puede ser usada en ataques posteriores para acceder a todo tipos de servicios o venderlas al peso en alguno de los múltiples foros donde los ciberdelincuentes trafican con la información robada.
Adjunto malicioso con infostealer
La campaña anterior no es la única que se ha estado propagando entre usuarios durante estos últimos días, ya que también hemos observado otro correo que adjunta un fichero malicioso pensado para robar información personal almacenada en los sistemas que consiga infectar. Esta técnica sería un poco más avanzada que la anterior, ya que se basa en un código malicioso para recopilar la información en lugar de engañar a un usuario para que la introduzca manualmente.
En el correo utilizado vemos como se indica un remitente aparentemente relacionado con la Fábrica Nacional de La Moneda y Timbre, aunque esto es solo otro engaño que usan los delincuentes para generar confianza entre sus víctimas. De la misma forma que en el correo anterior, se informa de una supuesta notificación de la Agencia Tributaria, adjuntándose un fichero que algunos usuarios no dudarán en abrir pensando que se trata de dicha notificación.
Sin embargo, el archivo adjunto comprimido no contiene ningún documento que se asemeje a una notificación. En su interior encontramos un fichero .bat que, en realidad, se trata de un fichero ejecutable con la extensión renombrada y que contiene el código malicioso responsable de ejecutar la fase inicial de este malware.
En esta ocasión nos encontramos con una variante del troyano identificado por las soluciones de ESET como NSIS/Injector.BVJ trojan. Este tipo de malware es usado frecuentemente por los delincuentes como malware de primera fase y es el responsable de descargar y ejecutar en el sistema la carga maliciosa elegida para esta campaña. En esta ocasión nos encontraríamos ante un malware del tipo infostealer, con capacidades para robar credenciales en aplicaciones de uso cotidiano como navegadores de Internet, clientes de correo, clientes FTP o VPNs, entre otras.
Además, al tratarse de una campaña dirigida a los usuarios españoles, no es de extrañar que el mayor número de detecciones se esté produciendo en nuestro país, aunque en otros países se estén preparando y distribuyendo al mismo tiempo campañas similares adaptándolas a los organismos responsables de recaudar impuestos de cada país.
DESCARGA LA APP DE LATIENDADELMATORISTA (IOS)
Conclusión
Vistos estos ejemplos y sabiendo que la campaña de la renta no ha hecho más que empezar en nuestro país, no será extraño ver ejemplos similares durante las próximas semanas o meses, por lo que debemos aprender a identificar este tipo de correos maliciosos para descartarlos nada más recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener.
Recibe cada semana las mejores historias del sector IT.
