Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Se ha identificado una campaña de correos electrónicos que intentan suplantar a la Agencia Tributaria para propagar malware. El correo, incluye un PDF con un enlace que al pinchar sobre él descarga un troyano bancario.

A continuación, procedemos a detallar los datos más característicos y el funcionamiento de la campaña:

1- Los correos provienen del remitente: Agencia Tributaria <[email protected]>.

2- El asunto utilizado es "Medidas Tributarias COVID-19 - Evitar la suspension del negocio".

3- El correo electrónico incluye un PDF con un enlace o un enlace directamente que al pinchar sobre él descarga un fichero de nombre Use-es.zip correspondiente a un troyano bancario conocido como Cryxos.

Ejemplo correo electrónico:

Los indicadores de compromiso de la campaña son los siguientes:

URLs:

• hxxp://www.pendientefirmas.com/manager/
• hxxps://www.sendspace.com:443/pro/dl/j01iw2
• hxxp://www.sensortek.com.tw/sobes/estrintaesete.tdr

Ficheros:

• Use-es.zip - SHA256: b75a9bfba66596f516d2a66e7042cac591042cc4cb9212b894a29b82eb7cab65
• Use-es.msi - SHA256: ca7e4be99f1020d678a66d53ff45d104bb7f0788bcf217014928b128c3413eb9

Análisis de las muestras:

• https://app.any.run/tasks/bcce892b-958a-4d0c-bc53-a6381e121c51
• https://www.hybrid-analysis.com/sample/b75a9bfba66596f516d2a66e7042cac591042cc4cb9212b894a29b82eb7cab65
• https://www.virustotal.com/gui/file/b75a9bfba66596f516d2a66e7042cac591042cc4cb9212b894a29b82eb7cab65/detection

Desde el Basque Cybersecurity Centre hemos procedido a tomar las medidas técnicas oportunas para mitigar la propagación de la amenaza.

Si recibes este e-mail, o ante cualquier duda o problema relacionado con la ciberseguridad, puedes ponerte en contacto con nosotros a través del número de teléfono gratuito 900 104 891 o enviando un e-mail a [email protected] / [email protected].