El Instituto Nacional de Ciberseguridad (Incibe) ha detectado una campaña de correos fraudulentos (phishing) con el fin de distribuir un programa informático malicioso (stealer), conocido como GuLoader/Agent Tesla para obtener información personal y suplantando a la Fábrica Nacional de Moneda y Timbre (FNMT) y a la Agencia Tributaria (AEAT).

Los correos electrónicos detectados contienen mensajes con errores de redacción, como expresiones mal formuladas o un orden extraño a la hora de mostrar la información.

Además, ofrecen un archivo .zip que contiene un stealer oculto, por lo que es recomendable no realizar la descarga, ha informado el Incibe en un comunicado.

Los asuntos identificados hasta la fecha son: “AEAT – Aviso de Notificación” y “Caducidad de tu Certificado FNMT”.

En los correos se observa que no se facilitan datos concretos del usuario y carecen de logos corporativos de ambas entidades, frecuentes en sus comunicaciones por correo electrónico. También es destacable la forma en la que está ordenada la información, confusa y mal redactada en alguna de sus partes.

El mensaje que suplanta a la Agencia Tributaria

En el mensaje que suplanta a la AEAT se solicita al usuario que realice la lectura del archivo adjunto en un plazo de tiempo determinado si quiere evitar acciones negativas sobre su cuenta o información.

De ese modo, se incita la apertura por parte de la víctima para la infección del dispositivo con el que se haya ejecutado.

El correo electrónico que suplanta a la FNMT

En el correo electrónico que suplanta a la FNMT se solicita al usuario que acceda a una descarga supuestamente para renovar el certificado, pero que resultará en la infección del dispositivo.

"Si has recibido un correo electrónico con las características mencionadas anteriormente, pero no has descargado ningún archivo adjunto, ni has contestado dando ningún tipo de información personal, márcalo como spam y elimínalo de tu bandeja de entrada", ha recomendado el Incibe.