La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) ha alertado de varias campañas masivas de distribución del malware Grandoreiro con el fin de infectar dispositivos mediante la suplantación de identidad de empresas de energía, como Endesa, Iberdrola y Naturgy. Los atacantes emplean correos electrónicos fraudulentos (phishing) enviados de forma masiva para engañar a los usuarios.
En los correos, se presentan mensajes que instan al usuario a descargar su factura del mes vencido, simulando un reclamo de factura legítimo para dar mayor credibilidad al fraude. En los siguientes ejemplos se muestra que utilizan diversos márgenes de tiempo para intentar engañar a quien recibe el email.
El objetivo de los ciberdelincuentes es que el destinatario descargue la supuesta factura comprimida y, al descomprimir el archivo, ejecute el malware en su dispositivo, logrando así infectarlo. Las características principales de estos correos electrónicos fraudulentos utilizados por los ciberdelincuentes para distribuir malware son:
- Remitentes no oficiales: estos correos provienen de direcciones de correo que no son oficiales. Si nos fijamos en esta dirección y la comparamos con otras comunicaciones oficiales observaremos discrepancias que nos hacen desconfiar.
- Formato del correo: el texto del correo puede parecer legítimo, ya que en este caso, no contiene errores gramaticales o de ortografía, pero se dirige al usuario de forma genérica o utilizando el correo electrónico un claro indicativo de que podría ser un fraude. Para dar más credibilidad se incluye logotipos y colores de la marca que podrían confundir al usuario a simple vista, por lo que nunca nos podemos fiar simplemente, porque el formato coincida, debemos analizar más afondo.
A continuación, se muestran ejemplos de estos correos electrónicos fraudulentos con diferentes asuntos, aunque no se descarta que existan otros similares:
En estos casos, los ciberdelincuentes utilizan un enlace donde el usuario debe pulsar para ser redireccionado y descargar la presunta factura. Aunque, también, se ha detectado otro método que directamente adjunta el malware en el correo electrónico:
Tras analizar con VirusTotal estos archivos, confirmamos que se trata del troyano bancario Grandoreiro, que tiene como objetivo robar información personal del equipo infectado:
En caso de que el malware llegue a instalarse en el dispositivo, podría robar datos del usuario y enviárselo a los ciberdelincuentes para utilizarlos en futuros fraudes.
En caso de que hayas recibido un correo electrónico con las características previamente señaladas, pero no hayas descargado el archivo, márcalo como spam o correo no deseado y elimínalo de tu bandeja de entrada. Si has descargado el archivo adjunto tras pulsar en el enlace, pero no lo has ejecutado, localízalo en la carpeta utilizada para alojar tus descargas y elimínalo. También debes vaciar la papelera de reciclaje.
Por lo contrario, si has ejecutado el archivo, tu dispositivo podría estar infectado. Para proteger tus datos y evitar que otros equipos de tu red se infecten, sigue estos pasos:
- Desconecta tu dispositivo de la red doméstica para evitar la propagación del malware.
- Realiza un análisis completo con un antivirus actualizado para identificar y eliminar el malware. Si el dispositivo sigue infectado, considera la opción de formatearlo o restablecerlo para así desinfectarlo. Al llevar a cabo esta acción se eliminarán todos los datos del dispositivo, por lo que se recomienda realizar copias de seguridad con frecuencia.
- Recopila toda evidencia posible, como capturas de pantalla del correo electrónico o del enlace fraudulento. También, puedes conservar el correo para presentarlo como prueba si decides denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado. En caso necesario, plantéate el uso de testigos online para certificar el contenido de las pruebas.
- Si dudas de la veracidad de una comunicación de una de estas empresas, puede dirigirte a los apartados específicos contra este tipo de fraude en los portales de Endesa, Iberdrola y Naturgy.
