La trampa detrás de la supuesta multa:
Grandoreiro y el engaño en nombre de la AFIP

Noticias y Novedades

Una campaña de phishing activa en Argentina utiliza falsas notificaciones haciendose pasar por AFIP para distribuir el troyano Grandoreiro y robar información sensible.

 

El cibercrimen sigue perfeccionando sus estrategias y, esta vez, apunta a los contribuyentes argentinos: correos falsos en nombre de AFIP descargan troyano bancario Grandoreiro. Bajo el disfraz de una notificación oficial por una supuesta multa, estos mensajes maliciosos buscan engañar a los usuarios para instalar un malware capaz de robar credenciales, datos financieros y controlar los equipos infectados. La sofisticación del señuelo y la identidad suplantada convierten a esta campaña en una amenaza seria para la seguridad digital.

 

Grandoreiro: características y actividad reciente

 

El protagonista de esta campaña es Grandoreiro, uno de los muchos troyanos bancarios latinoamericanos. Activo desde al menos 2017, los investigadores de ESET lo han seguido de cerca desde entonces. Este malware apunta a Brasil y México, y desde 2019 también a España (país más atacado entre 2020 y 2022). Ya en 2023 se había observado un claro cambio de enfoque hacia México y Argentina, como nuevo blanco.

Al igual que otros troyanos bancarios latinoamericanos, Grandoreiro cuenta con funcionalidades de backdoor, que les permite manipular ventanas, actualizarse, registrar las pulsaciones de teclado, simular acciones de mouse y teclado, obtener direcciones URL del navegador de la víctima, cerrar sesión de la víctima o reiniciar el equipo y bloquear el acceso a sitios web elegidos.

Además de recopilar información de sus víctimas (nombre de la computadora, del usuario o la lista de productos de seguridad instalados) también roba credenciales almacenadas en Google Chrome y datos almacenados en Microsoft Outlook.

Recientemente, ESET colaboró con la Policía Federal de Brasil en la desarticulación de la botnet Grandoreiro, proporcionando análisis técnicos, información estadística y nombres de dominio y direcciones IP de servidores de comando y control (C&C) conocidos. No solo eso, gracias a un fallo de diseño en el protocolo de red de Grandoreiro, los investigadores de ESET también pudieron observar su victimología.

 

El anzuelo: notificación de supuesta multa

 

La imagen que se comparte a continuación es la del correo falso que le llega a la potencial víctima en nombre de la AFIP (Administración Federal de Ingresos Públicos), aduciendo que existe una multa registrada a su nombre.

Como analizaremos a continuación, presenta ciertos detalles e indicios que debemos tener en cuenta para comprender que se trata de un intento de phishing y no de un comunicado oficial del organismo encargado de la recaudación de impuestos en Argentina.

 

 

En primer lugar, el dominio serviciosarca@sfip.com ya debe despertar sospechas: allí confluyen la vieja denominación del organismo (AFIP), con la nueva (ARCA), lo cual marca a las claras que difícilmente se trate de una comunicación oficial.

También es interesante comprender qué sucede al hacer clic en “Ver Documento Fiscal”: lleva a la potencial víctima a la página que mostramos a continuación:

 

 

 

En caso de que la persona haga clic creyendo que está descargando el PDF con la supuesta multa, lo que en realidad está descargando es un archivo ZIP, con el nombre “JYN178047BRFJ-89S459#xbdk765209999302.zip”.

Este archivo contiene una carpeta con un archivo en formato “.vbs”, que al ejecutarlo comienza el proceso que termina con la infección con el troyano bancario Grandoreiro.

Desde la propia Agencia de Recaudación y Control Aduanero (ARCA) compartieron un comunicado, resaltando “la absoluta falsedad de estos correos” e incitando “a los contribuyentes que los reciben a no ingresar a ninguno de los links allí incluidos y a denunciar el incidente, reenviando el mail a phishing@arca.gob.ar”.

A su vez, el organismo oficial recuerda que “como es de público conocimiento, ninguna comunicación que invoque a la AFIP es oficial”.

 

Consejos de seguridad antiphishing

 

Para reducir el riesgo de caer en este tipo de engaños, es fundamental adoptar hábitos de ciberseguridad básicos pero efectivos:

– Verifica siempre el remitente: Presta atención a la dirección de correo electrónico. Si el dominio parece sospechoso o no coincide exactamente con el del organismo oficial, es una señal de alerta.
– No hagas clic en enlaces ni descargues archivos adjuntos sin verificar: Ante la duda, accede directamente al sitio web oficial del organismo en cuestión escribiendo la dirección en el navegador.
– Mantén actualizado tu software de seguridad: Un buen antivirus puede detectar y bloquear archivos maliciosos antes de que causen daño.
– Desconfía de mensajes que generen urgencia o miedo: El phishing suele apelar a emociones fuertes para forzar decisiones rápidas. Tómate un momento para analizar el contenido con calma.

 

 

Podés leer el artículo completo en el siguiente enlace:

Correos falsos en nombre de AFIP descargan troyano bancario Grandoreiro