Cibercriminales aprovechan la temporada de pago de impuestos para distribuir malware.

Este tipo de campañas maliciosas también se han presentado en México, donde los estafadores utilizan la imagen del Servicio de Atención Tributaria (SAT) para enviar correos con contenido malicioso. 

Esta campaña fue descubierta por los investigadores de Heimdal Security. De acuerdo con su investigación, los correos enviados contienen el asunto "Payment for tax refund #00[6 números aleatorios]" (Pago por un reembolso de impuestos) e incluye un archivo adjunto con el nombre Tax_Refund_00654767.zip que, al descomprimirse, muestra el archivo Tax_Refund_00654767.doc.js

De acuerdo a Andra Zaharia "Si un usuario desprevenido abre el archivo adjunto (e ignora varias advertencias) el código se ejecutará en el equipo utilizando los mismos privilegios del usuario con sesión iniciada. Si estás acostumbrado a utilizar la cuenta de administrador de manera regular, esta campaña podría hacerte reconsiderarlo."

Cuando el malware se ejecuta, activa la utilería de Windows PowerShell que es utilizada para descargar los troyanos bancarios CoreBot y Kovter, otro troyano que se caracteriza por utilizar el registro de Windows y la memoria RAM para realizar actividades maliciosas sin tener contacto con el disco duro del equipo.

Los cibercriminales toman ventaja de esta época del año en particular para engañar a las personas, quienes esperan recibir correos del IRS relacionado con el pago de impuestos.