En España ya es relativamente común detectar campañas de phishing, consistente en hacerse pasar por organizaciones, empresas o incluso servicios como aplicaciones para colar malware a ciudadanos españoles mediante correos electrónicos y similares. La firma de ciberseguridad ESET ha publicado un detallado informe sobre la última campaña detectada, esta vez una particularmente peligrosa que distribuye un troyano bancario.
Según adelanta el director de investigación y concienciación de ESET en España, Josep Albors en su blog, se están difundiendo en España una serie de correos electrónicos que usurpan la identidad de la empresa energética Endesa, y que intenta hacer creer a sus víctimas que han recibido una factura de la compañía.
La elección de Endesa no es casualidad; el aumento de los precios de la luz en España y en el resto de Europa está provocando que los ciberdelincuentes aprovechen el sector eléctrico para difundir sus ataques phishing, aprovechando la incertidumbre de los ciudadanos y haciendo uso de técnicas de ingeniería social.
Nueva campaña de troyanos
Todo comienza, como ya es habitual, con un correo falso. Titulado "Factura Electrónica Endesa, proviene de la dirección de correo electrónico "EE-GESTION-DE-COBRO@endesa.com". Un correo muy simple, que pide descargar un archivo comprimido que se hace pasar por un archivo de texto, con una supuesta factura que el usuario tiene que descargar.
Lo primero que resalta de este mensaje es que, pese a suplantar a Endesa, es un correo extremadamente sencillo y que tiene los clásicos errores ortográficos que delatan que no es en absoluto un mensaje real. No obstante, el contexto actual respecto al precio de la luz y la opinión pública puede provocar que en este tipo de correos haya un número mayor de víctimas potenciales.
ESET, de primeras, ya establece que ni ni el dominio que se usa en este correo es legítimo. De hecho, el identificador del mensaje no coincide con el dominio de Endesa, y aunque se ha intentado ocultar el dominio para que parezca el de la firma eléctrica, un examen rápido delata que este es un caso de email spoofing, es decir, un correo que usurpa una identidad electrónica para ocultar la suya propia.
En dicho dominio existe un script php sospechoso, ubicado en la raíz de la web. Ese archivo .php pertenece a LeafPHP Mailer, un servicio que suele ser frecuentado por delincuentes en servidores de correo poco protegidos o vulnerables contra ataques, y que se usa para enviar campañas de spam. Pero lo peligroso de verdad está en el archivo adjunto.
El archivo adjunto de este correo recoge un archivo .MSI, es decir, un pack de instalación de Windows. Este se encarga de infectar el equipo, y contactar con un servidor externo controlado por los ciberdelincuentes, desde el que se descarga el payload. En el caso del correo, el archivo expone una extensión .ZIP, la cual está falseada; el formato real de este archivo es un formato de librería dinámica DLL y contiene el payload del troyano bancario en sí, el cual es una variante del troyano Grandoreiro.
Este es un troyano bancario dirigido tanto a España como otros países latinoamericanos, como Perú o México. Ataca a sus víctimas desplegando ventanas emergentes falsas que intentan hacer creer a la víctima que estas son notificaciones de entidades reales de sus bancos, y así usen aporten sus datos privados para robarlos. Recopila información de los equipos de las víctimas e incluso es capaz de robar credenciales guardadas en navegadores como Chrome.
De nuevo, es importante recordar los consejos referentes a la ciberseguridad más importantes en estos casos. Nunca descargar archivos provenientes de correos electrónicos no seguros, y no pinchar en sus enlaces salvo que el usuario esté completamente cerciorado de su veracidad. También es importante mantener actualizado el software de seguridad de nuestro equipo para que estos detecten a tiempo la amenaza.
También te puede interesar...
- La DGT alerta de phishing: una multa no pagada, el gancho de los hackers
- La Guardia Civil avisa de una estafa de WhatsApp: así es el phishing que esconde un troyano
- España, el país con mas ciberataques recibidos: sufrió 51.000 millones el pasado año