Con la campaña de la renta en marcha no es de extrañar que los contribuyentes estén alertas por si reciben alguna comunicación de la Agencia Tributaria durante estos días. Esto es algo que los ciberdelincuentes suelen aprovechar todos los años, lanzando campañas usando diferentes canales como mensajes SMS, redes sociales o, como el caso que nos ocupa en el siguiente artículo, mediante correos electrónicos.

Aunque el asunto no indique claramente que estemos ante una comunicación relacionada directamente con nuestra declaración de la renta, el simple hecho de nombrar a la Agencia Tributaria ya puede hacer que muchos usuarios bajen la guardia y no se fijen en algunas señales claras que delatan un mensaje fraudulento.

En esta campaña en concreto observamos como los delincuentes no se han esmerado a la hora de preparar el correo electrónico usado para tratar de engañar a los usuarios y este no presenta ningún logotipo o membrete que lo pueda relacionar con la entidad gubernamental suplantada. Además, presenta fallos en la redacción del mensaje, concretamente en aquellas letras en las que debería existir un acento, un error que la mayoría de delincuentes ya tienen superado desde hace tiempo gracias al uso de kits de phishing y la inteligencia artificial.

Pero aun con estos errores, es muy probable que no pocos usuarios se preocupen al recibir un correo como este y procedan a descargar el fichero adjunto que trae el correo, un fichero que, al abrirlo, delata su contenido malicioso.

En lugar de encontrarnos con un documento relacionado con la liquidación del IVA, nos encontramos con un fichero que contiene código JavaScript y, como viene siendo habitual, este código se encuentra ofuscado para dificultar su análisis inicial.

Este script, una vez desofuscado es el encargado de contactar con una URL remota que pertenece a un sitio legítimo pero que está siendo controlado por los delincuentes. En este sitio web se aloja un fichero PowerShell que el script se encarga de descargar y ejecutar en el sistema de la víctima. Este funcionamiento es clásico en las primeras fases de un ciberataque y suele terminar descargando algún tipo de amenaza como payload final.

En este caso estamos ante una nueva campaña de propagación del ladrón de información Formbook, un veterano infostealer que lleva años centrándose especialmente en el robo de credenciales almacenadas en los equipos de sus víctimas y en aplicaciones de uso cotidiano como navegadores de Internet, clientes de correo, entre otras.

La utilización de la Agencia Tributaria como gancho tampoco es algo que sea extraña cuando hablamos de campañas de propagación de este tipo de amenazas aunque, al tratarse de malware como servicio, es muy probable que los delincuentes detrás de esta campaña en concreto no se hayan esmerado en la realización de un correo más creíble y hayan preferido su propagación de forma masiva por cuentas de usuarios españoles, si atenemos al elevado número de corros de este tipo detectados durante los últimos días.

En cualquier caso, tanto estos correos como las amenazas que contienen se pueden detectar de forma efectiva si utilizamos las soluciones de seguridad correspondientes, capaces de detectar esta y muchas más amenazas. No obstante, tampoco debemos olvidar la importancia de una buena gestión de contraseñas, evitando almacenarlas en nuestros dispositivos o aplicaciones sin contar con una capa de seguridad adicional.