iProUP accedió al análisis de ESET sobre una nueva campaña de phishing que usa una supuesta multa de la ex AFIP para instalar un malware bancario
26.06.2025 • 07:14hs • Phishing
Phishing
Falsa multa de ARCA: el engaño con el que te vacían la cuenta del banco en segundos
Un nuevo engaño circula por correo electrónico y utiliza como señuelo una supuesta multa de ARCA para infectar a los usuarios con Grandoreiro, un troyano bancario latinoamericano que roba claves, simula movimientos y espía los datos financieros de las víctimas.
El intento de estafa fue detectado por la compañía de ciberseguridad ESET, que advierte sobre una campaña de phishing que suplanta a la ex AFIP para distribuir malware.
Cómo es el engaño
El correo electrónico llega en nombre de la Administración Federal de Ingresos Públicos y alega que hay una multa pendiente a nombre del usuario.
El remitente utiliza un dominio falso: serviciosarca@sfip.com, una mezcla entre la antigua y la nueva denominación del organismo, lo que ya debería despertar sospechas.
El mensaje incluye un botón con la leyenda "Ver Documento Fiscal", que al hacer clic descarga un archivo ZIP.
Dentro del ZIP se esconde un script en formato .vbs, que al ejecutarse activa la instalación del troyano Grandoreiro.
Una vez instalado, el malware es capaz de:
- Registrar pulsaciones del teclado
- Simular movimientos del mouse
- Manipular ventanas
- Robar credenciales bancarias desde Chrome y Outlook
- Bloquear el acceso a ciertos sitios
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que "el dominio y el mensaje son las primeras señales de alerta. Pero el mayor riesgo está en ejecutar el archivo descargado, que activa una serie de acciones para tomar el control del dispositivo" .
Comunicado oficial y advertencia
Desde la Agencia de Recaudación y Control Aduanero (ARCA) confirmaron que estos correos son completamente falsos y pidieron a los usuarios no hacer clic en los enlaces ni descargar archivos.
En su comunicado oficial, instaron a reportar los incidentes reenviando los correos a phishing@arca.gob.ar.
"Como es de público conocimiento, ninguna comunicación que invoque a la AFIP es oficial", aclararon.
Grandoreiro: un troyano con historia
Activo desde al menos 2017, Grandoreiro tiene origen en América Latina y fue detectado principalmente en Brasil, México y España, y más recientemente en Argentina.
En 2025 se intensificaron las campañas dirigidas al país, con correos que simulan ser enviados por organismos oficiales o empresas como Movistar.
El malware posee capacidades avanzadas de espionaje, control remoto y robo de información, y su expansión es tan significativa que ESET colaboró con la Policía Federal de Brasil para desmantelar parte de su infraestructura.
La recomendación de los expertos es clara: nunca ejecutar archivos de fuentes dudosas, incluso si parecen provenir de organismos oficiales. Verificar el dominio del remitente, desconfiar de multas inesperadas y mantener el software de seguridad actualizado son claves para evitar caer en este tipo de trampas.