Federación de Empresas de la Rioja

Nueva campaña de malware por correo electrónico que suplanta a la AEAT

Fecha de publicación: 30/07/2020

Importancia: Alta

Recursos afectados

Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

Descripción

En los últimos días se han detectado varias campañas masivas de envío de correos electrónicos fraudulentos que tratan de suplantar a la Agencia Tributaria con la intención de difundir malware.

En las campañas identificadas, el correo tiene como asunto: «Notificacion pendiente (números aleatorios)». En el cuerpo del mensaje se solicita al usuario verificar si el «monto de la factura fiscal es correcto» y se le indica que el plazo de pago finalizaba el día 21 de julio. El correo tiene asociado un archivo adjunto en formato pdf que, al pulsar sobre él, descarga el archivo comprimido con el nombre «COMPROBANTE_(números aleatorios)_(carácteres_aleatorios).zip» que contiene un troyano. Este compromete la seguridad del equipo y facilita al ciberdelincuente el robo de información.

No se descarta que existan otras campañas similares que usen el nombre de otras instituciones o administraciones públicas para sus fines.

Solución

Es importante que ante la mínima duda analices detenidamente el correo, tal y como explicamos en el artículo: ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente. Verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Como se ha indicado en el aviso publicado el 24 de julio, el correo electrónico detectado distribuye un tipo de malware que ha sido identificado como Trojan Cryxos. Se trata de un malware de tipo scareware que está diseñado para mostrar alertas o notificaciones engañosas haciendo creer al usuario que su equipo está infectado con un virus y se encuentra bloqueado. Este tipo de malware está diseñado para robar datos personales del usuario.

El cuerpo del mensaje del correo electrónico que suplanta a la Agencia Tributaria es el siguiente:

Aviso de seguridad 30/07/2020 - Campaña malware AEAT

Al pulsar sobre la imagen del archivo PDF, se abre el navegador para descargar a continuación un archivo malicioso denominado “COMPROBANTE_69135_PCZ.zip” como puede verse en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Descarga Comprobante AEAT

El archivo descargado contiene malware. Algunos navegadores pueden detectarlo.

Consulta de notificaciones emitidas por parte de la Agencia Tirbutaria

A continuación, os detallamos cómo se consulta una notificación emitida por parte de la Agencia Tributaria o de otro organismo público. En ambos casos, lo recomendable siempre es acceder a través la sede electrónica del organismo que nos ha notificado. En nuestro caso, abriremos una ventana en un navegador e introduciremos la dirección web de la sede electrónica de la Agencia Tributaria.

Una vez dentro de la sede electrónica de la AEAT, seleccionaremos en la parte derecha de la pantalla la opción “Mis notificaciones”.

Aviso de seguridad 30/07/2020 - Página principal Sede electrónica AEAT

A continuación, en la nueva pantalla de la sección “Notificaciones”, seleccionamos la opción “Consulta de notificaciones y comunicaciones” como se puede observar en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Consulta notificaciones y comunicaciones AEAT

El siguiente paso, consiste en identificarnos en la sede electrónica de la AEAT con nuestras credenciales. Para realizar este paso, la AEAT pone a nuestra disposición varias opciones como son la identificación mediante certificado electrónico emitido por la FNMT, mediante DNI electrónico o a través del servicio Cl@ve PIN, que es la opción que hemos elegido para este ejemplo. Para hacer uso de dicho servicio, debemos darnos de alta.

Para obtener la clave PIN facilitaremos previamente el número del DNI junto con la fecha de validez del mismo como puedes observar en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Ejemplo DNI electrónico

Una vez hemos localizado dichos datos en nuestro DNI, los introducimos en la pantalla de acceso y pulsamos el botón “Continuar”.

Aviso de seguridad 30/07/2020 - Acceso a Sede electrónica AEAT

En la siguiente pantalla podemos solicitar el envío del código PIN a través de SMS, o si tenemos instalada la app Cl@ve PIN en nuestro dispositivo móvil (disponible en los mercados de aplicaciones de Play Store de Google y en la App Store de iOS) recibiremos en la app el código. También es posible obtenerlo escaneando el código QR que aparece en la pantalla. En este ejemplo, obtendremos el PIN a través de la app instalada en un dispositivo Android.

Aviso de seguridad 30/07/2020 - Obtener clave pin en app

Una vez hemos obtenido el PIN la introducimos en el campo correspondiente y pulsamos el botón “Acceder”, tal y como puedes observar en la siguiente imagen:

Aviso de seguridad 30/07/2020 - Descarga Comprobante AEAT

Una vez hemos accedido a la Sede electrónica, en la siguiente ventana veremos todas las notificaciones que hemos recibido por parte de la Agencia Tributaria acompañada cada una de una breve descripción en la que se incluye el concepto, la persona a la que va dirigido la comunicación, así como la fecha de emisión del comunicado.

Aviso de seguridad 30/07/2020 - Pantalla mostrando el resumen de notificaciones recibidas por el titular emitidas por la AEAT

Para acceder al comunicado que deseamos visualizar, pulsamos en su número de certificado. Se cargará una nueva pantalla donde se mostrará la información detallada del comunicado seleccionado. Por último, se presiona el botón “Ver comunicación”.

Aviso de seguridad 30/07/2020 - resumen comunicado AEAT

En este último paso, se abrirá en una nueva ventana un archivo pdf que contiene la información relativa al comunicado que hemos recibido.

Línea de ayuda en ciberseguridad 017

Referencias

 

Vulnerabilidad crítica en el arranque compartido

Fecha de publicación: 30/07/2020

Importancia: Alta

Recursos afectados

  • Todos los sistemas que hagan uso del arranque compartido con el cargador de arranque GRUB2 de Linux.

En particular para S.O. Microsoft: 

  • Microsoft Windows 8.1: 
    • Sistemas de 32 bits
    • Sistemas de 64 bits
    • RT
  • Microsoft Windows 10:
    • Sistemas de 32 bits
    • Sistemas de 64 bits o 1607, 1709, 1803, 1809 1903, 1909 y 2004
  • Microsoft Windows Server:
    • 2012
    • 2012 Server Core installation
    • 2012 R2
    • 2012 R2 Server Core installation
    • 2016
    • 2016 Server Core installation
    • 2019
    • 2019 Server Core installation
    • 1903, 1904, 2004 Server Core installation

Descripción

Varios fabricantes, entre los que se encuentra Microsoft, quien ha publicado un aviso de seguridad fuera de ciclo, informan sobre varias vulnerabilidades que afectan al cargador de arranque de Linux. En los sistemas de Microsoft ocurre cuando la opción Secure Boot está configurada, permitiendo a un atacante con privilegios administrativos o acceso físico al sistema, ejecutar código malicioso en el equipo de la víctima saltándose el arranque seguro.

Solución

Microsoft se encuentra trabajando en la creación de una actualización para todas las versiones afectadas.

Mientras tanto, proponen dos soluciones alternativas de mitigación:

  • Reconfigurar secure boot. Microsoft Surface permite la configuración de Secure Boot con o sin confianza en las autoridades certificadoras de UEFI de terceros.  Aquellos usuarios que no requieran la utilización de Autoridades Certificadoras UEFI de terceros, pueden configurar Secure Boot como “Microsoft only” como mitigación a este problema. Para más información acudir al siguiente enlace: Manage Surface UEFI settings.

ATENCIÓN: La modificación de Secure Boot en la UEFI puede provocar problemas en la recuperación de BitLocker y en otro software de seguridad. Asegúrese de suspender BitLocker y tenga a mano su clave de recuperación antes de realizar esta mitigación.

  • Instalación manual de la actualización no testeada DBX. Trabajando con la comunidad Linux, Microsoft ha lanzado una actualización no probada para corregir esta vulnerabilidad. Esta actualización opcional, está dirigida a profesionales informáticos. La actualización se encuentra disponible en el foro de UEFI: https://uefi.org/revocationlistfile

Para soluciones de otros fabricantes puede consultar el aviso de INCIBE-CERT.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Logo de Windows

Si un atacante explota las vulnerabilidades, podría instalar un cargador de arranque GRUB afectado que le permitiese ejecutar código malicioso en el dispositivo pudiendo desactivar los controles de integridad del código y ejecutar software malicioso.

A la espera de una actualización que corrija dichas vulnerabilidades, Microsoft propone aplicar alguna de las 2 alternativas de mitigación explicadas anteriormente.

Línea de ayuda en ciberseguridad 017

Referencias
ADV200011 | Microsoft Guidance for Addressing Security Feature Bypass in GRUB

Este sitio web utiliza cookies de terceros con la finalidad de analizar el uso que hace de nuestra web. Si continúa navegando entendemos que acepta su uso. Más información