Campaña phishing AEAT y Ministerio de Interior

ANÁLISIS

El mensaje identificado de la AEAT informa sobre una supuesta denuncia por el impago de una factura y proporciona un enlace para descargar el documento con dicha información. El asunto del mismo es denuncia – factura no declarada. El mensaje identificado del Ministerio de Interior informa de que el DNI del usuario ha sido bloqueado y proporciona un enlace para descargar el proceso para apelar. El asunto del mismo es EXT: [XXX@] SU DNI ha sido bloqueado! Ambos correos contienen enlaces maliciosos que no se deben abrir bajo ningún concepto. Los enlaces maliciosos se conectan a un servicio de almacenamiento de ficheros online para descargar un .msi. Se proporcionan al final del mensaje los Indicadores de Compromisos detectados hasta el momento.  

RECOMENDACIONES

• Se debe evitar abrir los documentos adjuntos de fuentes desconocidas, así como clicar en enlaces sospechosos. • En caso de haberlo hecho, desconectar el usuario de la red y notificar de inmediato. • Filtrar los IOCs proporcionados.

IOCs

Dominios: transvil2[.xyz] agenciatributaria[.]site Orígenes: gestion.274@aeat.eu.com gestion.65@aeat.app gestion.908@aeat.app gestion.80@aeat.app gestion.702@aeat.app gestion.973@aeat.app gestion.539@aeat.biz gestion.358@aeat.biz gestion.43@aeat.biz gestion.487@agenciatributaria.online gestion.780@agenciatributaria.online gestion.275@aeat.app gestion.697@aeat.app gestion.61@aeat.biz gestion.487@agenciatributaria.online Hash/Nombre fichero: ba767c7a270703d7a1fc66a54df7393e3ff6bbd4 Denuncia - factura no declarada.xls 4e607be7682e1afbe31422257ac9d44bc0f0b16f 1.exe  

REFERENCIAS

Inteligencia privada de Lab52