Lanzan una ciberestafa que suplanta a la Agencia Tributaria

Los ciberestafadores han aprovechado el inicio de la campaña de la declaración de la Renta 2022 para enviar notificaciones a través de correo eléctrico mediante las que roban las credenciales de los contribuyentes. En los últimos días se han identificado dos tipos de correos maliciosos en los que se hacen pasar por la Agencia Tributaria: en uno suplantan el sitio web del organismo y en el otro envían archivos adjuntos infectados con el 'malware' infostealer.

Estos correos maliciosos contienen un enlace directo con el que se accede a una página web fraudulenta que simula ser la oficial de la Agencia Tributaria e incitan a que el usuario haga 'click' indicando que es un aviso de notificación del organismo público. Una vez dentro de la supuesta página web, que tiene una apariencia y diseño similar a la oficial, los ciberdelincuentes solicitan las credenciales del usuario para acceder. La compañía de ciberseguridad ESET ha lanzado un comunicado advirtiendo de la estafa, aunque no tienen claro qué datos precisos pretenden obtener. Posteriormente, estos dato serán utilizados para acceder a otros servicios o para venderlos como tráfico de información.

La página web dispone del certificado de seguridad (icono del candado cerrado que aparece en la barra de búsquedas), mientras que analizando la URL se puede observar que posee la extensión '.bz' (dominio de Belize) y las páginas gubernamentales españolas suelen tener las extensiones '.gob' o '.es'. La empresa ESET ha investigado sobre este dominio y ha descubierto que se registró en Moscú hace aproximadamente dos meses. Además, han asegurado que el certificado de seguridad también se obtuvo recientemente, a finales de marzo.

La apariencia de los correos electrónicos es idéntica a la plantilla que utilizaron el pasado mes de enero en la que simulaban los correos oficiales de la Agencia Tributaria.

Este tipo de correo electrónico contiene un documento fraudulento que descarga el 'malware' infostealer y roba la información personal almacenada en los sistemas del dispositivo infestado. Al igual que en el otro modelo, se hace referencia a una notificación de aviso de la Agencia Tributaria y también se nombra a la Fábrica Nacional de Moneda y Timbre.

El documento infectado se nombra como 'AEAT - Aviso de Notificación administrativa' e incluye un fichero '.bat' con un código que ejecuta automáticamente el 'malware' infostealer. Esta descarga ataca al usuario robando las credenciales personales de las aplicaciones instaladas, las introducidas en el navegador de Internet, en el correo electrónico o en el acceso a VPNs.

El director de Investigación y Concienciación de ESET España invita a los usuarios a que aprendan a identificar las ciberestafas y que cuenten con sistemas de seguridad que reconozcan estas amenazas.

• Temas
• Estafas
• Ciberataque
• Ciberseguridad