Ataque masivo intenta instalar malware en computadores de ciudadanos que tienen algún tipo de relación con la Dian
Desde hace algunos días se ha venido registrando un aumento en la recepción de supuestos correos enviados por la Dian con el título “Hemos iniciado un embargo en su contra por el no pago de sus obligaciones” o “Orden de Embargo # 63205300” y algunas variaciones similares.
Comunicaciones falsas que buscan engañar ciudadanos para instalar un programa que podría darle control de dispositivos de escritorio a un atacante.
Esta situación no es nueva en Colombia ya que la Dian desde el 2021 viene alertando sobre la situación. Sin embargo, el ataque se ha venido perfeccionando con el tiempo y hoy se tienen evidencias que su evolución podría incluir una afectación mayor ya que involucraría la vulnerabilidad a dominios que solo debería usar el Estado colombiano.
Igualmente, aún no es claro cómo es que un atacante obtiene una base de datos de ciudadanos que podrían tener algún tipo de relacionamiento con Dian ya que se tienen denuncias de correos que hacen parte de esta estrategia con malware y con información personal como nombre y apellido.
Dos temas que ninguna autoridad ha explicado y que ni Mintic o Dian han informado con precisión a pesar de varias declaraciones públicas, comunicados, hilos e incluso un sistema de verificación de correos que tiene la Dian.
Dominios colombianos
Uno de los signos más preocupantes de la evolución de este ataque es que en el pasado el remitente del correo era una cuenta cualquiera que fácilmente alertaría a cualquier persona y que detectaría cualquier filtro de correo electrónico.
En los mensajes que están enviando por estos días se observa que el remitente es un correo de diferentes municipios de Colombia, con el dominio.gov.co.
MuchoHacker.lol recopiló varios mensajes y encontró que sus remitentes, al menos en primera instancia, son correos con el dominio .gov.co que es de uso exclusivo del Estado y que en teoría son administrados por el Estado.
Dentro de los remitentes de esos correos se encuentran las cuentas: comunicaciondiangov@salgar-antioquia.gov.co, comisaria@uribia-laguajira.gov.co, recursosfísicos@uribia-laguajira.gov.co e incluso el correo comunicaciones@dian.gov.co.
Esta situación puede indicar dos cosas. La primera de ellas es que existe una vulneración de un servidor donde están alojados los dominios uribia-laguajira.gov.co y salgar-antioquia.gov.co y los atacantes están enviado desde un activo digital del Estado un ataque o se está haciendo una técnica llamada email spoofing que consiste en suplantar la identidad de los correos electrónicos.
MuchoHacker.lol envió una pregunta a funcionaria de Mintic y se está a la espera de una respuesta.
Igualmente se intentó hacer un análisis de los metadatos delos correos que tenemos pero no fue posible encontrar información ya que los mensajes que tenemos son reenviados y se necesitan los originales.
En teoría cualquier persona puede analizar el verdadero remitente de un correo pero hacer la comprobación tiene un componente técnico que no todo el mundo está dispuesto a realizar.
Ante la información expuesta y el aumento del tipo de ataque es probable que sea buena idea tener claridad sobre lo que realmente pasa. Sobre todo porque es mucho más creíble un correo de un municipio como remitente que cualquier correo de Gmail.
Modo de operación
- Atacantes envían mensajes masivos o personalizados al correo de sus víctimas
2. El correo tiene diferentes formas. Uno de los analizados tiene un link que dice Descargar Mi Estado de Cuenta. Al darle clic se dirige a una url acortada por un servicio. En este caso es https://gtly.to/TZPVRrMMu. (NO DAR CLIC PORQUE DESCARGA EL MALWARE)
2.1 Existe otra forma de engaño que viene con un supuesto archivo PDF. El archivo se descarga y viene con una contraseña. La contraseña es sencillamente para darle permiso al archivo descargado de iniciar una instalación.
Hasta el momento y en un sentido estricto no pasaría nada si solo se descarga el archivo. Realmente se puede borrar y no se ejecutará nada. Sin embargo, no vale la pena correr el riesgo.
Si se descarga el archivo y se observa con detenimiento tiene nombre similar a wwwdiangovcoPaginasestadodecuentan5235364788ref.LHA . La extensión del archivo es LHA un formato de comprensión como ZIP que pedirá una clave. Al darle doble clic por curiosidad o por desconocimiento se pedirá la contraseña y si se introduce usted ejecutará el permiso de instalación y oficialmente usted estará infectado. Esto solo funciona para Windows.
Si llega un correo con este tipo de información sospechosa es importante advertir que la Dian envía al final del mensaje un código QR. En teoría se puede comprobar la veracidad del mensaje leyendo el código, sin embargo tenemos dos testimonios donde se cuestiona la idoneidad de esta herramienta para verificación.
Primer testimonio: Usuario envía a MuchoHacker.lol este correo e indica que confirmó con la Dian si existe algún tema pendiente con la entidad y respondieron que no . Este correo tiene el sistema de verificación de la DIAN. Ante el hecho, la Dian no se ha pronunciado.
2. Segundo testimonio:
Lo anterior no quiere decir que el sistema de la DIAN de verificación mediante correo no funcione, sin embargo, están los testimonios que hacen dudar de su fiabilidad.
Qué instala
Según Virus Total, un servicio web que ayuda a analizar archivos, en el caso analizado podría tratarse de un troyano llamado Quasar.
Según el Csirt del sistema financiero colombiano Quasar ya es un viejo conocido en Colombia y se trata de un troyano creado por un grupo anónimo conocido como Blind Eagle y que ya hemos reportado anteriormente. Este grupo que podría tener relaciones con IP rusas y busca robar información de las víctimas e incluso los analistas creen que es capaz de realizar actividades de espionaje
Son varios los análisis que se le ha hecho a este tipo de malware. En síntesis lo que podría pasar una vez se lograr instalar es que un atacante puede tomar control del computador infectado y ejecutar diversas acciones.
Si usted sospecha que pudo instalar el malware sin culpa es mejor que corra un antivirus. Es preciso anotar que no todos los archivos relacionados a esta estrategia son los mismos y no todos los archivos son detectados por los antivirus más famosos en el mercado. Si la sospecha no lo deja dormir es mejor enviar el computador a un técnico para que se descarte cualquier tipo de infección.
Es difícil saber cómo deberían actuar las entidades involucradas en este tipo de ataque. Pese a los esfuerzos por hacer masiva la información todos los días se leen quejas de ciudadanos con inquietudes sobre el si el correo que llega de la Dian es verdadero o falso. Solo basta hacer una búsqueda en Twitter para comprender que algo está pasando y se necesita mucho más que un comunicado.