Recursos Afectados

Toda aquella persona que haya recibido el correo electrónico que se ha descrito en el apartado anterior, haya hecho clic en el enlace y ejecutado el archivo.

Descripción

Detectada una campaña de distribución de malware, a través de phishing, que suplanta a la compañía del sector eléctrico, Endesa. En el correo electrónico fraudulento se informa que el receptor ya puede pagar su factura adjunta como archivo comprimido .zip, aunque en realidad este archivo es un ejecutable .msi con código malicioso.

Solución

Si has recibido el correo electrónico, pero no has hecho clic en el enlace, márcalo como spam o correo no deseado. Además, sería conveniente eliminarlo de tu bandeja de entrada también.

Si has descargado el archivo al hacer clic en el enlace, pero no lo has ejecutado, ve a tu carpeta de descargas y elimínalo. También, deberías eliminarlo de la papelera de reciclaje.

Si, por el contrario, has ejecutado el archivo, posiblemente tu dispositivo se haya infectado y sería necesario seguir las siguientes pautas:

  • Desconecta tu dispositivo de la red doméstica para evitar que el malware pueda propagarse a otros dispositivos.
  • Utiliza un antivirus para analizar el dispositivo en profundidad en busca del malware y en caso de seguir infectado, considera la opción de formatearlo o restablecerlo para así poder desinfectarlo. Ten en cuenta, que al hacer esto, se borrará la información almacenada en el dispositivo, por lo que te recomendamos hacer copias de seguridad con regularidad.
  • Recopila todas las pruebas posibles, como podrían ser capturas de pantalla e incluso si lo crees necesario, guarda el correo electrónico recibido para presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Para ello, también, puedes apoyarte en testigos online y certificar el contenido de las pruebas.

Aprende a prevenir este tipo de ataques y otras situaciones similares al seguir nuestras pautas y recomendaciones.

Detalle

Se ha detectado una campaña de distribución de malware mediante el envío masivo de correos electrónicos fraudulentos (phishing). En este correo se suplanta la identidad de Endesa con el fin de que el usuario ejecute un código malicioso conocido como Grandoreiro e infecte su dispositivo.

En el correo se muestra un mensaje instando a usuario a descargar su factura correspondiente al mes vencido para dar más credibilidad a esta técnica de ingeniería social. En este caso, hace referencia al período comprendido entre el 30 de noviembre y el 31 de diciembre de 2023.

El objetivo de los ciberdelincuentes es que la persona que reciba dicho email descargue la presunta factura comprimida y una vez descomprima el fichero, ejecute el malware en su dispositivo para infectarlo.

A continuación, se mostrarán ejemplos de los correos electrónicos recibidos:

En la imagen se aprecia el correo electrónico que recibe el usuario suplantando a la entidad Endesa con el fin de que descarguemos una presunta factura pero en realidad se trata de un código malicioso. El asunto utilizado para este correo: ‘Área cliente – Ya puede descargar su factura Nº. [número factura]‘.

Tras clicar en el enlace, te redireccionará a una página web donde se descargará el archivo comprimido.

En la imagen se muestra la supuesta factura una vez descargada en nuestro navegador por defecto ya que al clicar previamente se nos direcciona. Dicho archivo se almacenará en la carpeta por defecto configurada por el usuario, normalmente en ‘Descargas‘. El fichero .zip contiene un programa .msi con código malicioso:

En la imagen se muestra la supuesta factura una vez descargada en nuestro dispositivo aunque esta se trata de un malware.  En caso de que se ejecutase el archivo, el dispositivo de la víctima quedaría infectado por el malware Grandoreiro, que tiene como objetivo robar información personal del equipo infectado.

Si comprobamos el archivo con VirusTotal, este nos muestra que se trata del troyano bancario Grandoreiro:

En la imagen se comprueba con VirusTotal un análisis del fichero que en realidad hemos descargado, indicando de esta manera que se trata del troyano bancario Grandoreiro

Fuente: Incibe.es