Se identificó una nueva campaña del troyano bancario Grandoreiro, la cual se distribuye a través de correos electrónicos de phishing suplantando la identidad del Servicio de Administración Tributaria (SAT), informó la startup mexicana, SILIKN, con base en una investigación de El Financiero.
Los mensajes provienen de cuentas legítimas utilizadas para recibir notificaciones fiscales, a diferencia de ataques anteriores, donde los ciberdelincuentes empleaban direcciones de correo falsas o similares a las oficiales. Estos contienen enlaces maliciosos que buscan comprometer a los destinatarios.
“Debido a que estos correos son verificados, logran evadir la detección de la mayoría de los antivirus y soluciones antimalware”.
Cabe mencionar que el correo que es enviado por ciberdelincuentes redirige a una URL, por lo que se puede clasificar como sospechoso y potencialmente malicioso. Al hacer clic en el enlace, se redirige a una página que muestra el mensaje “Documentación Acta en PDF” e incluye un botón para descargar el archivo PDF.
Es importante NO hacer clic en el botón bajo ninguna circunstancia.
Los expertos precisaron que la URL, con dominio contaboserver.net, pertenece a Contabo GmbH, un proveedor de hosting alemán, y el subdominio vmi2486519.contaboserver.net corresponde a un servidor VPS alojado en su infraestructura, utilizado por distintos clientes para alojar sitios o servicios.
“El correo puede parecer verídico, pero se trata de un intento de phishing para robar credenciales o distribuir contenido malicioso.
“Entre los indicadores de riesgo se encuentran el uso de un servidor VPS de bajo costo en Contabo, común entre atacantes; la presencia de un token en la URL, que podría simular autenticación pero redirigir a una página falsa; y los parámetros _mimeclass=image y _embed=1, que podrían cargar una imagen con código malicioso o tracking pixels para monitorear al usuario”.
Por lo anterior, en caso de recibir un correo que aparenta ser del SAT e invita a cumplir obligaciones fiscales, pero contiene un enlace que redirige a vmi2486519.contaboserver.net, no se debe hacer clic en el enlace ni descargar archivos adjuntos, pues éste es sospechoso y potencialmente malicioso.
“Se debe verificar que el remitente use el dominio oficial @sat.gob.mx y revisar la URL, ya que el SAT no usa servidores como Contabo. Si la URL contiene un token de autenticación, podría ser phishing. Es recomendable escanear el enlace en VirusTotal o URLScan, reportarlo al SAT ([email protected]) y eliminar el correo para evitar riesgos”.
er
