Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Detectadas campañas fraudulentas que suplantan a empresas de energía mediante facturas falsas para distribuir malware

Fecha de publicación 29/10/2024
Importancia
4 - Alta
Recursos Afectados

Cualquier persona que haya recibido uno de los correos electrónicos fraudulentos descritos anteriormente, haya hecho clic en el enlace de descarga de la supuesta factura y ejecutado el archivo adjunto.

Descripción

Detectadas campañas de distribución de malware a través de correos de phishing que suplantan a empresas de energía como Endesa, Naturgy e Iberdrola. Los correos fraudulentos notifican a la víctima sobre una supuesta factura pendiente adjunta en un archivo comprimido .zip o disponible para descargar. Sin embargo, el archivo contiene un ejecutable malicioso diseñado para instalar el malware llamado Grandoreiro en el dispositivo del usuario.

Solución

En caso de que hayas recibido un correo electrónico con las características previamente señaladas, pero no hayas descargado el archivo, márcalo como spam o correo no deseado y elimínalo de tu bandeja de entrada.

También, puedes reportarlo a nuestro departamento de incidentes para que podamos gestionarlo y difundirlo para evitar otras víctimas.

Si has descargado el archivo adjunto tras pulsar en el enlace, pero no lo has ejecutado, localízalo en la carpeta utilizada para alojar tus descargas y elimínalo. También debes vaciar la papelera de reciclaje.

Por lo contrario, si has ejecutado el archivo, tu dispositivo podría estar infectado. Para proteger tus datos y evitar que otros equipos de tu red se infecten, sigue estos pasos:

  1. Desconecta tu dispositivo de la red doméstica para evitar la propagación del malware.
  2. Realiza un análisis completo con un antivirus actualizado para identificar y eliminar el malware. Si el dispositivo sigue infectado, considera la opción de formatearlo o restablecerlo para así desinfectarlo. Al llevar a cabo esta acción se eliminarán todos los datos del dispositivo, por lo que se recomienda realizar copias de seguridad con frecuencia.
  3. Recopila toda evidencia posible, como capturas de pantalla del correo electrónico o del enlace fraudulento. También, puedes conservar el correo para presentarlo como prueba si decides denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado. En caso necesario, plantéate el uso de testigos online para certificar el contenido de las pruebas.
  4. Si dudas de la veracidad de una comunicación de una de estas empresas, puede dirigirte a los apartados específicos contra este tipo de fraude en los portales de Endesa, Iberdrola y Naturgy.

Por último, revisa nuestras pautas y recomendaciones para aprender a prevenir este tipo de ataques y otras amenazas similares.

Detalle

Se han detectados varias campañas de distribución de malware Grandoreiro con el fin de infectar dispositivos mediante la suplantación de identidad de empresas de energía, como Endesa, Iberdrola y Naturgy. Los atacantes emplean correos electrónicos fraudulentos (phishing) enviados de forma masiva para engañar a los usuarios.

En los correos, se presentan mensajes que instan al usuario a descargar su factura del mes vencido, simulando un reclamo de factura legítimo para dar mayor credibilidad al fraude. En los siguientes ejemplos se muestra que utilizan diversos márgenes de tiempo para intentar engañar a quien recibe el email.

El objetivo de los ciberdelincuentes es que el destinatario descargue la supuesta factura comprimida y, al descomprimir el archivo, ejecute el malware en su dispositivo, logrando así infectarlo.

Las características principales de estos correos electrónicos fraudulentos utilizados por los ciberdelincuentes para distribuir malware son:

  • Remitentes no oficiales: estos correos provienen de direcciones de correo que no son oficiales. Si nos fijamos en esta dirección y la comparamos con otras comunicaciones oficiales observaremos discrepancias que nos hacen desconfiar.
  • Formato del correo: el texto del correo puede parecer legítimo, ya que en este caso, no contiene errores gramaticales o de ortografía, pero se dirige al usuario de forma genérica o utilizando el correo electrónico un claro indicativo de que podría ser un fraude. Para dar más credibilidad se incluye logotipos y colores de la marca que podrían confundir al usuario a simple vista, por lo que nunca nos podemos fiar simplemente, porque el formato coincida, debemos analizar más afondo.

A continuación, se muestran ejemplos de estos correos electrónicos fraudulentos con diferentes asuntos, aunque no se descarta que existan otros similares:

En la imagen se detalla un correo electrónico fraudulento donde suplantan la identidad de Naturgy, una empresa de energía para que descargues un malware.
Asunto: 'Naturgy: Deuda Pendiente Confirmada XXXXX'

 

En la imagen se detalla un correo electrónico fraudulento donde, esta vez, suplantan la identidad de Endesa, una empresa de energía para que descargues un malware.
Asuntos: 'Naturgy: Deuda pendiente confirmada [Nº Factura]' o 'Ya puedes descargar su factura Ref. [Nº Factura]'

 

En estos casos, los ciberdelincuentes utilizan un enlace donde el usuario debe pulsar para ser redireccionado y descargar la presunta factura.

Aunque, también, se ha detectado otro método que directamente adjunta el malware en el correo electrónico:

 

En la imagen se detalla un correo electrónico fraudulento donde, esta vez, suplantan la identidad de Iberdrola, una empresa de energía para que descargues un malware.
Asunto: 'Aviso de disponibilidad de Factura Electrónica Iberdrola'

 

Tras analizar con VirusTotal estos archivos, confirmamos que se trata del troyano bancario Grandoreiro, que tiene como objetivo robar información personal del equipo infectado:

 

En la imagen se detalla un análisis del fichero adjunto o en otros casos descargado tras ser redireccionado con la herramienta online VirusTotal, siendo como resultado positivo en el troyano bancario Grandoreiro.

En caso de que el malware llegue a instalarse en el dispositivo, podría robar datos del usuario y enviárselo a los ciberdelincuentes para utilizarlos en futuros fraudes

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas