Malware en correos electrónicos con documentos fiscales del IRS
Es fundamental mantenerse alerta ante correos electrónicos inesperados. Los ciberdelincuentes suelen disfrazar mensajes maliciosos como comunicaciones oficiales de instituciones de confianza para robar datos o infectar dispositivos. Un ejemplo de ello es la llamada campaña de correos electrónicos de "Documentos Tributarios del IRS". Estos mensajes no están asociados con ninguna empresa, organización, agencia gubernamental legítima ni con el Servicio de Impuestos Internos (IRS).
Tabla de contenido
¿Qué es la estafa de correo electrónico con malware que se hace pasar por documentos fiscales del IRS?
Los correos electrónicos de "Documentos Tributarios del IRS" son una forma de spam malicioso, mensajes creados específicamente para distribuir malware. Suplantan la identidad del IRS e informan falsamente a los destinatarios que los documentos tributarios oficiales del año fiscal 2025 están disponibles para su descarga segura.
Para generar una falsa sensación de legitimidad, los correos electrónicos suelen comenzar con «Estimado contribuyente» e incluyen detalles como un número de teléfono real del IRS y una dirección postal en Washington, D.C. Además, presentan un botón destacado para «Descargar visor seguro» y afirman que los documentos están cifrados y requieren un visor especial para abrirlos.
Estas afirmaciones son fraudulentas y tienen como objetivo engañar a los destinatarios para que hagan clic en el enlace proporcionado.
Cómo funciona la cadena de infección
Al hacer clic en el botón, los usuarios son redirigidos a un sitio web de terceros diseñado para parecerse a una página oficial de descarga de Adobe Acrobat. La página puede indicar que falta Adobe Reader o que está desactualizado, y que se requiere una actualización para poder visualizar los archivos fiscales.
A continuación, se descarga un archivo llamado 'Adobe_Install.msi'. A pesar de su nombre, este instalador no tiene ninguna relación legítima con Adobe.
Al ejecutarse, el archivo no instala software de Adobe. En su lugar, despliega silenciosamente TiFlux, una plataforma legítima de escritorio remoto y administración de TI desarrollada por una empresa brasileña. Sin embargo, en esta campaña, el software se utiliza indebidamente como una herramienta maliciosa de acceso remoto. También existe la posibilidad de que la versión distribuida haya sido modificada para incluir funcionalidades dañinas adicionales.
Tras la instalación, el programa puede registrarse en Windows como Ti Service And Agent bajo el nombre del editor TiFLUX, mientras se ejecuta silenciosamente en segundo plano.
¿Por qué este malware es peligroso?
Una vez que los atacantes obtienen acceso remoto a un sistema comprometido, pueden monitorear la actividad, manipular archivos e instalar amenazas adicionales. Un ataque exitoso puede exponer información personal y financiera.
Las posibles consecuencias incluyen:
- Robo de documentos, contraseñas, datos del navegador o información bancaria.
- Instalación de más software malicioso, como ransomware, spyware o programas para robar credenciales.
- Uso no autorizado del ordenador para actividades delictivas
- Vigilancia a largo plazo o persistencia en el dispositivo infectado.
Cualquier persona que haya ejecutado el instalador debe asumir que el sistema podría estar comprometido.
Qué hacer si el archivo se abrió
Si se ejecutó el instalador descargado, es fundamental actuar de inmediato. Desconectar el dispositivo de internet puede ayudar a limitar la actividad de posibles atacantes mientras se realizan las comprobaciones de seguridad.
Entre las medidas recomendadas se incluyen ejecutar un análisis antivirus completo o un escaneo de seguridad del punto final, eliminar el software sospechoso, cambiar las contraseñas de un dispositivo limpio, revisar las cuentas bancarias y de correo electrónico en busca de actividad no autorizada y buscar asistencia profesional para la respuesta a incidentes si se expusieron datos confidenciales.
Cómo los correos electrónicos no deseados suelen propagar el malware
Los ciberdelincuentes se basan en dos métodos principales de envío en las campañas de spam:
Archivos adjuntos maliciosos, como archivos ejecutables, documentos de Office, archivos ZIP, PDF, imágenes ISO o scripts. Algunos infectan los sistemas de inmediato, mientras que otros requieren que los usuarios habiliten macros o ejecuten contenido incrustado.
Enlaces incrustados que redirigen a las víctimas a páginas de software falsas, portales fraudulentos o sitios de intercambio de archivos engañosos donde se descarga malware de forma manual o automática.
Cómo reconocer estafas similares
Los avisos fiscales inesperados, las solicitudes financieras urgentes, las peticiones para instalar visores o actualizaciones, los saludos genéricos, los enlaces sospechosos y los archivos adjuntos no solicitados deben tratarse con precaución. Las agencias gubernamentales generalmente no envían instaladores de software sorpresa a través de campañas de correo electrónico no solicitadas.
Evaluación final
Los correos electrónicos de "Documentos Tributarios del IRS" son una estafa de distribución de malware que abusa del nombre del IRS para engañar a los destinatarios. Las víctimas son redirigidas a una página falsa de descarga de Adobe donde un instalador disfrazado despliega un software de acceso remoto que puede otorgar el control del sistema a los atacantes. Estos correos electrónicos deben eliminarse de inmediato y no se debe abrir ningún enlace ni archivo adjunto.
System Messages
The following system messages may be associated with Malware en correos electrónicos con documentos fiscales del IRS:
Subject: New Tax Document Ready for View |
