Troyano suplanta al SAT y busca robar tus datos

2025-03-10

A diferencia de ataques anteriores, donde los ciberdelincuentes empleaban direcciones de correo falsas o similares a las oficiales, en esta ocasión los mensajes provienen de cuentas legítimas

La unidad de investigación de SILIKN identificó una nueva campaña del troyano bancario Grandoreiro, que se distribuye a través de correos electrónicos de phishing suplantando la identidad del Servicio de Administración Tributaria (SAT).

A diferencia de ataques anteriores, donde los ciberdelincuentes empleaban direcciones de correo falsas o similares a las oficiales, en esta ocasión los mensajes provienen de cuentas legítimas utilizadas para recibir notificaciones fiscales. Sin embargo, contienen enlaces maliciosos que buscan comprometer a los destinatarios.

La firma detalló que el correo redirige a esta URL, por lo que se puede clasificar como sospechoso y potencialmente malicioso: https://vmi2486519.contaboserver.net/?_task=mail&_action=get&_mbox=INBOX&_uid=6694&_token=acfded23f5af01b90368725dd9e6c14dbfdd76375779124b5b210220740735d3&_part=5.6.8&_embed=1&_mimeclass=image

¡Síguenos en GOOGLE NEWS

Al hacer clic en el enlace, se redirige a una página que muestra el mensaje "Documentación Acta en PDF" e incluye un botón para descargar el archivo PDF. Es importante NO hacer clic en el botón bajo ninguna circunstancia.

Al respecto, explicó que el correo puede parecer verídico, pero se trata de un intento de phishing para robar credenciales o distribuir contenido malicioso. Entre los indicadores de riesgo se encuentran el uso de un servidor VPS de bajo costo en Contabo, común entre atacantes; la presencia de un token en la URL, que podría simular autenticación pero redirigir a una página falsa; y los parámetros _mimeclass=image y _embed=1, que podrían cargar una imagen con código malicioso o tracking pixels para monitorear al usuario.

Por otro lado, indicó que Grandoreiro es un troyano bancario diseñado para robar credenciales de acceso a cuentas bancarias en línea y realizar fraudes financieros. Este malware se propaga principalmente a través de correos electrónicos de phishing, en los que se suplantan identidades legítimas, como las de instituciones financieras o servicios de pago.

“Cuando el usuario hace clic en el enlace o adjunto malicioso, el troyano se instala en su dispositivo. Luego, se activa para monitorear las actividades en línea del usuario, como las transacciones bancarias, e intercepta las credenciales ingresadas en los sitios web de banca en línea. Además, puede modificar las transacciones, redirigir pagos o robar información confidencial”, subrayó.