En las últimas horas, se ha detectado la propagación masiva de un falso documento que llega a través de correo electrónico haciendo creer a la víctima que proviene de AFIP.
ESET alerta sobre la circulación de un documento que llega por correo electrónico, con el remitente falsificado para simular su procedencia de AFIP. Este correo explota una vulnerabilidad de .NET Framework, reportada por primera vez hace una semana.
El falso correo electrónico informa al usuario sobre un “nuevo manual” para la plataforma de compras de AFIP. El engaño está dirigido a empresas en Argentina y según los investigadores de ESET Latinoamérica, los criminales detrás de este ataque tienen conocimiento de la plataforma de compras de la AFIP.
Sin embargo, al observar el cuerpo del mensaje, se detecta una redacción confusa y con mala codificación de caracteres. Se observa también que el mensaje tiene un archivo comprimido como adjunto, que en su interior contiene el documento malicioso.
Si bien el remitente parece ser una dirección de correo de AFIP (compras@afip.gov.ar), los encabezados del correo demuestran que el mismo se encuentra falsificado. Además, en la sección de “Contáctenos” del verdadero sitio de compras de la AFIP, se observa que el dominio de los correos es @afip.gob.ar, no @afip.gov.ar.
El documento malicioso es un archivo .doc que, tan solo con ser abierto, desencadena la explotación de una vulnerabilidad recientemente reportada.
Si bien es cada vez más común ver ataques que utilizan macros en archivos de Office, ellos requieren que el usuario atacado active su ejecución, algo que en este caso no es necesario ya que se trata de un exploit, lo cual hace el ataque aún más peligroso.
En la imagen anterior se destaca que el documento, además del exploit, contiene texto válido con un documento real, por lo que el usuario podría no llegar a sospechar que ha sido infectado.
Una vez que la vulnerabilidad es explotada, se ejecutan varios scripts de powershell que terminan por descargar y dejar corriendo malware que espía y roba información del sistema afectado.
Dejar su comentario sobre esta nota
Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)