Se ha detectado hoy el origen de una campaña masiva de envío de correos maliciosos suplantando a la Agencia Estatal de Administración Tributaria y redirigiendo a un formulario de Phishing.
Estos correos llevan un formato ya visto con anterioridad, donde se hace referencia a que se ha recibido una notificación para el supuesto titular y busca llevar a los usuarios a un sitio fraudulento suplantando al verdadero de la AEAT. Una vez ingresados los datos, la víctima es redirigida al sitio legítimo, pudiendo un usuario que desconoce estas técnicas creer que se ha tratado de un simple error de la web.
Estas campañas están siendo enviadas utilizando un dominio aeat.es, el cual no parece estar protegido por SPF ni medidas similares, lo que ofrece a los atacantes un dominio que de cara a las potenciales víctimas puede parecer bastante confiable y aumentar las posibilidades de éxito.
Los indicadores de compromiso identificados en la investigación de estas campañas son:
Agencia Tributaria <info@aeat.es> | Sender de los correos fraudulentos
https://aeatespana.com | URL que llega en los correos, redirige a la del formulario de phishing.
https://agenciatributaria.pw | URL que llega
Como suele ser ya común en estos casos, los atacantes están utilizando un certificado gratuito de Let’s Encrypt para la web fraudulenta (para que se vea más legítima ante usuarios inexpertos).
