Un día más en la oficina para los que a diario conocemos nuevos casos de ciberdelincuencia en la red. Y es que ahora se ha conocido en detalle una nueva estafa que está suplantando a una conocida eléctrica española, para que los clientes de esta piquen en este anzuelo y les cuelen un troyano en sus dispositivos.

El phishing se ha convertido en uno de los principales métodos utilizados por los hackers para poder hacerse con nuestros datos o tomar el control de nuestros dispositivos. Y ahora conocemos más detalles sobre estas prácticas suplantando la factura electrónica de una importante eléctrica.

Facturas maliciosas

Y no lo decimos porque ya de por si cualquier factura tiene en parte algo de maléfico y negativo, sino porque en este caso hemos conocido que una presunta factura de Endesa le está llegando a diferentes usuarios como excusa para inyectarles malware. Es lo que está ocurriendo concretamente con una factura de Endesa, que está llegando a muchos clientes de la marca con el objetivo de engañarlos e inyectarles malware en su móvil. Y es que se trata de una campaña de phishing, por tanto de suplantación de la identidad, en este caso de Endesa, de manual.

infectar móvil

Concretamente porque el mail que reciben los clientes viene curiosamente desde un dominio como el de Endesa, al menos eso es lo que parece a primera vista. Pero no si se mira con minuciosidad, como han hecho en este caso desde el blog «protegerse» de ESET. En él han tirado un poco del hilo y se han dado cuenta de que aunque se puede apreciar que el remitente del correo es el de Endesa, cuando se rastrea el ID del email es algo bastante diferente, y no tiene absolutamente nada que ver con la eléctrica.

infectar móvil

Esto es algo que evidente hace sospechar, no solo por una comunicación de este tipo desde un email, sino porque la dirección del remitente parece ser una tapadera de lo que realmente esconde este correo. Pero los especialistas de ESET han seguido tirando de ese hilo, hasta acceder a su directorio. Donde hay un archivo con extensión «.php» que básicamente no debería estar en este directorio. A esta situación sospechosa se une que si se descarga el archivo y se analiza, se puede apreciar que el contenido está vinculado a LeafPHP Mailer, que es un servicio habitualmente utilizado por hackers para enviar SPAM masivo desde servidores de correo.

Correos con adjuntos maliciosos

Este correo electrónico simula ser uno enviado originalmente con Endesa y que contiene una factura de nuestro interés. En ese momento lo que hacen los hackers es mostrarnos todo legítimo para que piquemos y descarguemos el archivo adjunto, que pensamos será la factura. Y nada más lejos de la realidad, porque desde ESET también han analizado este archivo, y es evidente que no hay buenas noticias, porque se trata de un archivo MSI que es el encargado de comunicarse con los servidores de los hackers infectando primero el dispositivo.

El contenido del adjunto suplanta también la identidad, en este caso de un archivo ZIP, porque la realidad es que no tiene esta extensión, sino que es un archivo dll diseñado para descargar el payload c0n el troyano bancario integrado. La única forma de evitar este troyano es ignorar los correos electrónicos de nuestra eléctrica donde se adjunte la factura. Como mucho podremos recibir un aviso de disponibilidad de la factura, y a partir de ahí descargarla desde nuestra zona de cliente, pero nunca desde un adjunto.