Un cibercriminal identificado como Red WinterDog está detrás de alrededor de 10 mil ataques a contribuyentes del Servicio de Administración Tributaria (SAT) en México. Especialistas de TELMEX-Scitum, empresa mexicana de ciberseguridad, detectaron dos malwares, a través de los cuales el hacker roba la información de los mexicanos.
Las dos campañas de troyanos que operan con extensiones maliciosas en el país se denominan como “BlackDog” y “Black Belen“. Ambas se distribuyen a partir de correos electrónicos, mensajes de texto y páginas apócrifas.
¿Quién es Red WinterDog y cuál es su objetivo?
“Red WinterDog” es el nombre que SCILabs de TELMEX-Scitum le asignó al cibercriminal que opera aproximadamente desde junio de 2022. Según la compañía mexicana, su objetivo es robar información de los contribuyentes del SAT, como del Registro Nacional de Población (Renapo).
“Su objetivo es robar información bancaria y personal de las víctimas, así como cuentas de correo electrónico empresariales de usuarios en México”.
SCILabs de TELMEX-Scitum.
SCILabs identificó, en junio de 2022, al cibercriminal Red WinterDog a partir del análisis de correos electrónicos, URL y direcciones IP infectadas en Latinoamérica. Seis meses después, los especialistas encontraron otro malware llamado Black Belen, diseñado por el mismo hacker.
Los dos troyanos diseñados por este cibercriminal
Black Dog: se hace pasar por el SAT
El primer troyano de Red WinterDog sigue vigente hasta ahora.
- Black Dog utiliza correos electrónicos falsos (phishing) para instalar una extensión maliciosa en el navegador del usuario, luego monitorea las páginas que visita para, finalmente, redirigirlo hacia sitios bancarios apócrifos donde roba sus credenciales bancarias.
El troyano también se hace pasar como la página oficial del SAT para engañar a los contribuyentes, así como por portales de Renapo, que ofrecen consultas o modificaciones a la CURP de los ciudadanos.
Black Belen: el segundo troyano malicioso
En diciembre de 2022, los expertos de los SCILabs identificaron a Black Belen, una segunda familia de malware que opera bajo la misma línea que Black Dog. Sin embargo, Black Belen no sólo se distribuye por correos electrónicos falsos, también a través de:
- Extensiones que se pueden descargar de las tiendas oficiales de Microsoft Edge y Google Chrome.
- Campañas de phishing, que incluyen mensajes de texto.
- Malvertising, es decir, publicidad maliciosa, en buscadores como Bing y DuckDuckGo.
Al igual que Black Dog, también usa a organismos como el SAT y a Renapo para engañar a los usuarios.
¿Cómo operan las páginas apócrifas de Red Winter Dog?
Tanto Black Dog como Black Belen suplantan páginas de Google relacionadas con el SAT y Renapo, las cuales suelen ubicarse en los primeros lugares del buscador.
Una vez que el contribuyente accede al sitio falso, el malware ejecuta las siguientes acciones:
- Aparece una ventana emergente que pide instalar una extensión.
- A partir de ahí, se redirige a otra página.
- Se vuelve a solicitar la descarga de extensiones desde la tienda oficial del navegador, o de forma manual.
- Una vez instalada, roba todos los datos del navegador del contribuyente, así como toda nueva actividad que se realice posteriormente.
Ambas familias de malware de Red WinterDog están en constante evolución, advierten los expertos. Por ejemplo, actualmente utilizan herramientas de administración remota para que el usuario brinde información adicional como números de teléfono.
Marzo y abril, los meses en los que se registran más ataques en México
Los expertos de TELMEX-Scitum señalan que Red WinterDog es uno de los cibercriminales que registran mayor actividad en México. Y añaden que suele operar entre los meses de marzo y abril.
“Está asociado a la temporalidad de ciertas actividades en México. Por ejemplo, marzo y abril, que es temporada de impuestos, entonces cuando aprovechan para hacer sus campañas relacionadas con el SAT para poner páginas falsas y que sea más convincente para los usuarios cuando están buscando temas relacionados con impuestos”.
Expertos de TELMEX-Scitum.
Red WinterDog sigue vigente, ¿cómo proteger la información?
Los especialistas ofrecen las siguientes recomendaciones para prevenir ataques de Red WinterDog:
- Evitar abrir correos electrónicos sospechosos.
- No descargar archivos de fuentes no legítimas.
- Antes de instalar extensiones en el navegador, consultar al área correspondiente.
- Ingresar las direcciones de las páginas que se desea visitar, directamente en la barra de direcciones y no por los resultados en buscadores.
En caso de identificar una página apócrifa, los expertos también recomiendan no volver a usar el navegador donde se identificó la extensión maliciosa.
Y concluyen que identificar los malwares puede ser complicado, incluso para los mismos especialistas, por lo que se hace un llamado especial a la prevención.