El Instituto Nacional de Seguridad de la Información y las Comunicaciones (NICS) ha descubierto recientemente que los atacantes están suplantando la identidad del Ministerio de Finanzas para llevar a cabo ataques de ingeniería social a través de correos electrónicos. Estos correos electrónicos, que se hacen pasar por una “investigación fiscal”, persuaden a los destinatarios a abrir y descargar un archivo adjunto que contiene código malicioso. Este tipo de ataques pueden causar graves riesgos de filtración de datos y violación del sistema tanto para empresas como para individuos.
Según el análisis del Instituto Nacional de Seguridad de la Información y las Comunicaciones, los atacantes se hacen pasar por el Ministerio de Finanzas o las autoridades fiscales locales para enviar correos electrónicos relacionados con asuntos fiscales. Si el destinatario descarga y ejecuta el archivo adjunto del correo electrónico, puede activar un troyano que puede provocar la filtración de datos confidenciales de la empresa o la violación del sistema.
Las características conocidas de estos correos electrónicos maliciosos son las siguientes:
1. Asunto del correo electrónico enviado por el hacker:
“Notificación de investigación fiscal”
“Lista de empresas fiscales sujetas a inspección”
2. Nombres de archivo maliciosos:
“Empresas fiscales sujetas a inspección.pdf”
“Consultar1140120.zip”
“Lista de empresas fiscales sujetas a inspección.pdf”
“Lista de empresas fiscales.zip”
3. Estaciones de retransmisión maliciosas relacionadas:
206[.]238[.]221[.]240
9010[.]360sdgg[.]com
rgghrt1140120-1336065333[.]cos[.]ap-guangzhou[.]myqcloud[.]com
fuued5-1329400280[.]cos[.]ap-guangzhou[.]myqcloud[.]com
6-1321729461[.]cos[.]ap-guangzhou[.]myqcloud[.]com
00-1321729461[.]cos[.]ap-guangzhou[.]myqcloud[.]com
Nota: para evitar hacer clic accidentalmente en los enlaces, se usan “[.]” para separar los nombres de dominio.
Además, TWCERT/CC también ha recibido información de seguridad relacionada y trabajará en estrecha colaboración con el Instituto Nacional de Seguridad de la Información y las Comunicaciones para rastrear estas actividades de ataque. TWCERT/CC les recuerda a las empresas y al público en general que se mantengan alerta y especialmente cautelosos al recibir correos electrónicos que parezcan ser oficiales, para evitar convertirse en objetivos de estos ataques.
Recomendaciones de seguridad:
1. Los administradores de redes deben seguir los indicadores de detección de intrusiones y actualizar adecuadamente el firewall para bloquear las estaciones de retransmisión maliciosas.
2. Se recomienda prestar atención a los correos electrónicos sospechosos y verificar la autenticidad de la fuente antes de abrirlos o descargar archivos adjuntos.
3. Instalar software antivirus y mantenerlo actualizado con las últimas definiciones de virus. Antes de abrir un archivo, escanearlo con el software antivirus y asegurarse de que el tipo de archivo sea legítimo. Si se encuentran caracteres extraños en el nombre del archivo (como lnk, rcs, exe, moc, etc.), se debe aumentar la precaución.
4. Reforzar la conciencia de seguridad entre los empleados para prevenir ataques de ingeniería social a través de correos electrónicos.
¡No bajemos la guardia y trabajemos juntos para proteger nuestra seguridad en línea!