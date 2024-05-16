Da marzo 2024, X-Force ha osservato campagne di phishing che si spacciano per il Servizio di Amministrazione Tributaria (SAT) messicano, la Commissione Federale per l'Elettricità (CFE), la Segreteria di Amministrazione e Finanze della città del Messico e il Servizio delle Entrate dell'Argentina. Le e-mail si rivolgono agli utenti dell'America Latina, compresi i domini di primo livello (TLD) di Messico, Colombia e Cile ".mx", ".co" e ".cl". Tutte le identità reali sono state cancellate dalle immagini per motivi di privacy personale.

La prima campagna sembra essere un tentativo di apparire ufficiale e urgente e informa il bersaglio che sta ricevendo un avviso finale relativo a un addebito per la Quota di Registrazione del Contribuente Federale (RFC) non ancora pagata. In caso di mancato pagamento, le conseguenze possono includere sanzioni, multe e il blocco del numero di identificazione fiscale dell'utente, compromettendo la capacità del bersaglio di svolgere attività commerciali e di accedere legalmente ai servizi governativi. Una campagna aggiuntiva impersona la Commissione Federale per l'Elettricità (CFE) del Messico e ricorda al destinatario che si è abbonato a CFEMail e quindi può accedere al proprio estratto conto in formato PDF e XML cliccando su uno dei collegamenti incorporati. Una terza campagna, che imita la Segreteria di Amministrazione e Finanze, indirizza il destinatario a cliccare su un PDF per leggere i dettagli di un avviso di conformità. Una campagna che imita il Servizio delle Entrate dell'Argentina istruisce l'utente a scaricare un nuovo documento fiscale e a compiere le azioni appropriate.

In ciascuna campagna, ai destinatari viene richiesto di fare clic su un link per visualizzare una fattura o un addebito, un estratto conto, effettuare un pagamento, ecc., a seconda dell'ente impersonato. Se l'utente che clicca sui link si trova in un paese specifico (a seconda della campagna, Messico, Cile, Spagna, Costa Rica, Perù o Argentina), viene reindirizzato a un'immagine di un'icona PDF e un file ZIP viene scaricato sullo sfondo. I file ZIP contengono un grande eseguibile mascherato da un'icona PDF, che si scopre essere stato creato il giorno prima o il giorno dell'invio dell'e-mail.