El pasado 14 de mayo 2014, consumidores colombianos recibieron un correo electrónico falso acusándolos de cometer fraude y evasión fiscal.
La notificación dirige al destinario a que haga clic en un archivo adjunto para recibir documentos «oficiales» con más detalles para resolver su caso. Al hacer clic, el usuario recibe instrucciones que, sin ellos saberlo, ayudan a los cibercriminales habilitar los macros que Microsoft Office bloquea por defecto. Después, un nuevo binario malicioso se descarga desde un servidor ubicado en el Ecuador.
El binario pertenece al malware Ngrbot y es capaz de robar contraseñas de juegos en línea, PayPal, sistemas de intercambio de archivos, las redes sociales (incluyendo Facebook y Twitter), cuentas bancarias en línea, y más.
Si quieres conocer más detalles, puedes visitar el blog de Securelist: https://www.securelist.com/en/blog/208214279/When_paying_taxes_don_t_pay_twice