Troyano bancario Grandoreiro apunta a España suplantando la identidad de la Agencia Tributaria

El pasado 11 de agosto, muchos españoles estuvieron recibiendo correos electrónicos que decían provenir de la Agencia Tributaria. Estos correos utilizaban un remitente falso como “Servicio de Administración Tributaria” y la dirección de correo electrónico contato@ acessofinanceiro[.]com para engañar a los destinatarios haciéndoles creer que habían recibido una comunicación oficial de la agencia tributaria.

En el cuerpo del mensaje, se indica al destinatario que descargue un archivo ZIP que supuestamente contiene un comprobante fiscal digital. También advierte que queda un documento pendiente de presentar a la Agencia Tributaria junto con un monto pendiente de pago. Aunque el mensaje no ofrece garantía de ser una comunicación oficial, es probable que algunos destinatarios hayan caído en la trampa y hayan descargado el archivo ZIP vinculado a través del enlace en el correo.

El enlace redirige a un dominio que se registró el mismo 11 de agosto. Sin embargo, al observar la información proporcionada por whois, un servicio que proporciona información de identificación sobre los registrantes de nombres de dominio, el país del registrante aparece como Brasil, lo que tal vez podría indicar el paradero de los operadores de esta campaña.

ESET también observó algunas campañas de Mekotio, otro troyano bancario latinoamericano, que apenas unos días después se distribuía de la misma manera.