Investigadores de ESET España han detectado una nueva oleada de correos electrónicos fraudulentos que suplantan a la Agencia Tributaria y otras entidades relacionadas con la gestión de impuestos con el objetivo de infectar equipos y robar credenciales, especialmente en entornos empresariales.

Estos mensajes utilizan como cebo supuestas devoluciones del IRPF, pagos pendientes o notificaciones relacionadas con el IVA, aprovechando la preocupación que generan los asuntos fiscales tanto en empresas como en autónomos. Los correos suelen incluir archivos adjuntos y mensajes muy escuetos, diseñados para generar urgencia y provocar que la víctima abra el fichero sin sospechar. 

Según el análisis realizado por ESET, aunque los correos emplean plantillas diferentes y aparentan proceder de remitentes distintos, los archivos adjuntos distribuyen la misma amenaza, lo que indica que se trata de una campaña coordinada que reutiliza el mismo malware con distintos señuelos.

Malware orientado al robo de credenciales

Una vez ejecutado el archivo malicioso, el sistema queda infectado por una combinación de amenazas ya conocidas. En primer lugar, se utiliza GuLoader (también conocido como CloudEye), un cargador encargado de desplegar la carga final, que en este caso es Snake/VIP Keylogger, un ladrón de información especializado en el robo de credenciales.

Este tipo de malware busca credenciales almacenadas en clientes de correo electrónico, navegadores web, VPN, clientes FTP y otros servicios corporativos, así como accesos a plataformas digitales y, en algunos casos, carteras de criptomonedas. Toda la información recopilada es enviada posteriormente a los atacantes mediante distintos métodos, como correos electrónicos enviados desde servidores comprometidos.

Un riesgo serio para las empresas

Aunque este tipo de campañas pueda parecer sencilla, desde ESET advierten de que el robo de credenciales suele ser la puerta de entrada a incidentes mucho más graves. Con accesos válidos a cuentas corporativas, los atacantes pueden infiltrarse en la red de la empresa, robar información confidencial, lanzar ataques de ransomware o extorsionar a la organización amenazando con la filtración de datos.

“El uso de temas fiscales como gancho sigue siendo extremadamente efectivo, especialmente en determinados momentos del año. Las empresas deben extremar las precauciones, ya que este tipo de correos no solo buscan infectar un equipo, sino obtener accesos que pueden comprometer a toda la organización”, señala Josep Albors, director de investigación y concienciación de ESET España.

Para minimizar el riesgo frente a este tipo de campañas, ESET recomienda:

• Desconfía de correos que notifiquen pagos, devoluciones o incidencias fiscales inesperadas.
• No abras archivos adjuntos ni enlaces sin verificar previamente la legitimidad del remitente.
• Forma y conciencia a los empleados sobre este tipo de amenazas.
• Cuenta con soluciones de seguridad actualizadas capaces de detectar y bloquear malware y correos maliciosos antes de que lleguen al usuario.

La detección temprana y la prevención siguen siendo claves para evitar que una simple campaña de phishing acabe derivando en un incidente de seguridad grave para las empresas.