Los estafadores fiscales utilizan el troyano Emotet para ejecutar la estafa del formulario de impuestos IRS W-9
Según Malwarebytes, los defraudadores fiscales utilizan cada vez más el "troyano Emotet" para llevar a cabo sus operaciones. Es capaz de interceptar el tráfico de red y robar datos, como las credenciales de usuario almacenadas en el navegador.
Un esquema actual, según Malwarebytes, implica una estafa que utiliza el formulario de impuestos IRS W-9. El formulario W-9 se utiliza para verificar la información personal con el IRS, como su nombre, dirección y número de identificación fiscal. El formulario W-9 es utilizado por las personas para verificar su información personal con el IRS, como su nombre, dirección y número de identificación fiscal. A continuación, el W-9 se utiliza como cebo en esta operación fraudulenta para incitar a la gente a descargar software malicioso.
El Director Senior de Inteligencia de Amenazas de Malwarebytes, Jerome Segura, descubrió un correo electrónico con el asunto "IRS Tax Forms W-9". El mensaje dice provenir del "IRS Online Center", y el correo incluye un archivo adjunto, W-9 form.zip, con muy pocas palabras.
Cuando se abre el archivo adjunto W-9 form.zip, aparece un documento de Word llamado W-9 form.doc, que tiene un tamaño de 548.164 KB (548 MB). Este tamaño es especialmente sospechoso porque podría indicar la presencia de Emotet en segundo plano. Los desarrolladores de software malicioso inflan el tamaño del documento para engañar o eludir las medidas de seguridad. El gran tamaño puede dificultar que las herramientas de seguridad lo capten y analicen con eficacia.
Abrir el documento se convierte en un juego de riesgo relacionado con las macros. Las macros, utilizadas para automatizar aspectos de los documentos, son una forma probada de infectar un PC con malware. Al abrir el formulario W-9.doc, aparece un mensaje que dice:
"Este documento está protegido
La vista previa no está disponible para documentos protegidos. Tienes que pulsar los botones "habilitar edición" y "habilitar contenido" para previsualizar este documento."
Al activar estos botones se descargará Emotet en el sistema.
Las fuentes de este artículo incluyen un artículo de InfoSecurityMagazine.