Agencias, Ciudad de México.- Una nueva campaña de malware trojano denominada como “BlackParty” está suplantando la identidad del Sistema de Administración Tributaria (SAT), descubrieron Fortinet y Telmex-Scitum.

Dicho malware recopila información de sus víctimas para agregar a los dispositivos infectados a una botnet. Esta, posteriormente, realiza actividades maliciosas como robo de información y control total de los dispositivos.

BlackParty se descubrió en mayo de este año en correos de phishing que llevaban a un sitio web falso que suplantaba al SAT.

La página mostraba una ventana emergente donde se pedía a la víctima ingresar un captcha y luego descargar un manual de usuario del sitio. La carpeta llamada “Sat.zip” contenía el malware encargado de descargar, descomprimir y ejecutar el archivo para establecer conexión con el centro de comando y control del atacante.

BlackParty ha sido detectada más de 500 veces en Latinoamérica desde su descubrimiento. Todas las URL ligadas al malware ya están calificadas como «sitios web maliciosos” por el servicio de filtrado web de Fortinet.

BlackParty, el nuevo malware que se hace pasar por el SAT #shorts https://t.co/zXzmF9dH6Z

— Luisito GyG (@LuisGyG) July 5, 2022

Actualmente, el malware actúa en distintos países de Latinoamérica, llegando a las víctimas por correos o mensajes de phishing que llevan a páginas falsas locales. Los datos recopilados de los dispositivos infectados incluyen:

• Identificador único de la víctima
• Sistema operativo
• Antivirus instalado en el dispositivo
• Arquitectura del sistema operativo
• Validación de permisos de usuario

La plataforma especializada en ciberseguridad explica que la mejor forma de evitar caer en este tipo de fraude es, primero, saber que existe y cómo opera, para poder estar alerta e identificarlo. Además, sugieren acciones como:

• Siempre leer cuidadosamente el remitente de donde proviene el supuesto correo electrónico del SAT.
• Asegurarse de que la página es oficial, revisando que la URL a la que direcciona no tenga caracteres extraños.
• No dar clic en los links que vienen en los mensajes y correos no verificados, pues puede ser un truco de phishing.
• Si crees que, en efecto, podrías tener algún tema pendiente con el SAT, lo mejor es entrar a su página oficial ingresando directamente la URL https://www.sat.gob.mx/home, o bien desde un buscador legítimo como el de Google.
• Otra opción es llamar a la institución para confirmar si en verdad están tratando de contactarte.

Todas las URL ligadas a este malware ya están calificadas como “sitios web maliciosos” por el servicio de filtrado web de Fortinet. La información sobre el troyano se agregó a la enciclopedia de amenazas pública de FortiGuard Labs, y están monitoreando el alcance de esta campaña por medio de sensores desplegados a nivel global.

De acuerdo con Fortinet, la protección más efectiva frente a este tipo de malware es la concienciación del usuario final. La empresa de ciberseguridad recomienda hacer que todos los empleados de una empresa sepan cómo identificar correos electrónicos y mensajes sospechosos, además de entender cómo funciona una campaña de phishing.

¡CUIDADO! En México, identifican sitio de internet que suplanta al Servicio de Administración Tributaria (SAT) para robo de datos. BlackParty fue descubierto en mayo al detectar correos de phishing que llevaban a un sitio web falso. Su interfaz era idéntica al sitio legítimo. pic.twitter.com/H1maag85VF

— Antimio Cruz (@Antimio) June 30, 2022