Un sitio web fraudulento, que imita al portal oficial del Servicio de Administración Tributaria (SAT), está engañando a los usuarios para que ejecuten manualmente un código malicioso en sus computadoras. La táctica aprovecha la necesidad de los contribuyentes de acceder a los servicios del SAT, incluyendo la generación de citas, lo que hace que la amenaza pase desapercibida.
El analista en ciberseguridad Miguel Becerra alertó sobre este nuevo ataque, identificando el dominio falso portalsatmx[.]com. Al ingresar a esta página, los usuarios son recibidos con una ventana emergente que les solicita seguir supuestas “medidas de seguridad” para continuar con el servicio; sin embargo, en lugar de tratarse de un protocolo de seguridad legítimo, el sitio instruye a las víctimas a copiar y ejecutar un código en PowerShell, un sistema de automatización en Windows.
El código, que se ejecuta de manera oculta en el sistema, contiene un enlace a https[:]//espacioci.com/linktree/css/svg/cache.txt, un archivo que oculta comandos diseñados para descargar malware en la carpeta APPDATA de Windows y ejecutar un programa que compromete la seguridad del equipo.
Modus operandi similar al ataque de FenixBotnet
Este ataque tiene similitudes con una campaña previa detectada en octubre de 2024 por el investigador en ciberseguridad Germán Fernández, donde ciberdelincuentes utilizaron un esquema similar para propagar la FenixBotnet.
En aquel caso, los atacantes enviaban falsos citatorios del SAT a través de mensajes SMS, solicitando descargar un archivo PDF que, en realidad, redirigía a una página maliciosa. Allí, los usuarios eran instruidos para copiar y ejecutar un código en Windows, instalando así el malware en sus dispositivos.
En la actual amenaza detectada por Miguel Becerra, en lugar de mensajes SMS con citatorios falsos, los ciberdelincuentes han diseñado un sitio web que suplanta al SAT y que persuade a los usuarios para que ejecuten el código voluntariamente, creyendo que es un procedimiento de seguridad legítimo.
El código en PowerShell funciona como un loader (cargador), descargando y ejecutando archivos adicionales en el sistema de la víctima. Este tipo de ataque es especialmente peligroso porque el propio usuario otorga permisos administrativos al malware, lo que le permite evadir herramientas de seguridad y antivirus.
¿Qué riesgos implica esta amenaza?
Los expertos en ciberseguridad advierten que este ataque puede resultar en:
- Ejecución remota de código malicioso sin que el usuario lo detecte.
- Robo de credenciales e información personal almacenada en el equipo infectado.
- Instalación de programas espía capaces de registrar las pulsaciones del teclado y capturar contraseñas bancarias.
- Persistencia del malware en el sistema, lo que permite a los atacantes acceder al dispositivo incluso después de eliminar el código inicial.
¿Cómo protegerse de este tipo de amenazas?
Para evitar caer en este tipo de fraudes, los especialistas recomiendan:
- No ejecutar comandos de fuentes desconocidas. Nunca copiar y pegar instrucciones en la terminal de Windows sin verificar su autenticidad.
- Verificar siempre la URL oficial del SAT. El sitio legítimo del SAT es www.sat.gob.mx. Si un dominio tiene variaciones sospechosas, se debe evitar su uso.
- No ingresar datos personales en páginas no verificadas. Antes de ingresar cualquier información, comprobar que se está en el sitio correcto.
- Mantener el sistema y los programas de seguridad actualizados. Tener un buen antivirus y un firewall activo puede ayudar a detectar amenazas.
- Reportar páginas fraudulentas a las autoridades de ciberseguridad. En México, se pueden denunciar en la Unidad de Policía Cibernética.
