Observatorio de Amenazas

Alerta por Correos Falsos del Servicio de Impuestos Internos

Escrito por Marcelo Carvajal | 07-05-25

Se ha detectado una nueva campaña fraudulenta que se hace pasar por el Servicio de Impuestos Internos (SII). Esta campaña utiliza correos electrónicos maliciosos que, según los expertos, circularon durante la tarde de este lunes. La principal diferencia con otras campañas, es que los atacantes habrían enviado los correos maliciosos a través de los servidores legítimos del 𝗦𝗲𝗿𝘃𝗶𝗰𝗶𝗼 𝗱𝗲 𝗜𝗺𝗽𝘂𝗲𝘀𝘁𝗼𝘀 𝗜𝗻𝘁𝗲𝗿𝗻𝗼𝘀.

En este blog te contamos en qué consistió la campaña, cuáles son los impactos y qué medidas puedes tomar dentro de tu organización.

Análisis de la Amenaza

Los correos son dirigidos, contienen el nombre de las empresas asociadas al RUT y el correo específico de contacto. El contenido del correo alude a un supuesto trámite de "Orden de Cierre de Giro" e incorpora un enlace para consultar más información, solicitando que se haga clic en un enlace para revisar un documento PDF adjunto.

Al hacer clic, se descarga un PDF malicioso que contiene un malware conocido como Lumma. Durante un momento de la operación, los atacantes también utilizaron una vulnerabilidad de tipo "open redirect" presente en el sitio web de la Tesorería General de la República y la técnica de ingeniería social #ClickFix para redirigir a los usuarios a las descargas maliciosas.

Lumma Stealer es un malware que funciona bajo el modelo malware-as-a-service (MaaS) y es sofisticado, instalándose sin que el usuario lo note, generalmente a través de correos electrónicos falsos o descargas de programas no confiables

Impacto y Consecuencias

El impacto principal es la potencial infección de los dispositivos de los destinatarios con el malware Lumma Stealer. Una vez instalado, Lumma busca y roba información sensible.

Según el análisis, este tipo de malware roba credenciales (de navegador, Discord, Telegram, FTP, VPN), cookies de sesión (lo que permite el secuestro de cuentas) y criptomonedas (wallets o extensiones). Posteriormente, envía esta información a los criminales que pueden usarla para acceder a cuentas y robar dinero o información personal.

¿Qué Medidas debe Tomar su Organización?

El Servicio de Impuestos Internos hizo un llamado a todos los contribuyentes a tener el máximo de precaución frente a este tipo de comunicaciones. Solicitó proceder a la eliminación del correo si han recibido uno similar.

Si existe la posibilidad de que algún usuario de su organización haya instalado el malware (es decir, hizo clic en el enlace y siguió alguna instrucción), se deben tomar las siguientes medidas:

  • Verifique inicios de sesión anómalos y cambie todas las contraseñas utilizadas desde un dispositivo seguro.
  • Recuerde que es necesario activar MFA/2FA (autenticación de múltiples factores/doble factor) en todas las plataformas donde sea posible.
  • Revisar el funcionamiento de herramientas de antimalware y filtros DNS en los equipos de usuario. Recordar que este malware roba credenciales, cookies de sesión y criptomonedas, entre otros datos sensibles.
  • Es fundamental educar al personal sobre cómo identificar estos correos para evitar ser víctimas.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Adicionalmente, concientizar a los colaboradores en materia de ciberseguridad es esencial para evitar de raíz el impacto de estas amenazas en su organización.

  • WPersona: Los colaboradores son la primera línea de protección. A través de un programa de concientización en ciberseguridad, conocerán los riesgos de ciberseguridad a los que están expuestos y sabrán evitarlos.

Fuentes

https://csirt.gob.cl/alertas/aia25-00004/
Ver post completo