{"id":61332,"date":"2023-05-10T09:45:02","date_gmt":"2023-05-10T07:45:02","guid":{"rendered":"https:\/\/miradordeatarfe.es\/?p=61332"},"modified":"2023-05-10T10:00:26","modified_gmt":"2023-05-10T08:00:26","slug":"distribucion-malware-a-traves-de-un-phishing-que-suplanta-a-endesa","status":"publish","type":"post","link":"https:\/\/miradordeatarfe.es\/?p=61332","title":{"rendered":"Distribuci\u00f3n malware a trav\u00e9s de un phishing que suplanta a Endesa"},"content":{"rendered":"<div class=\"clearfix text-formatted field field--name-field-recursos-afectados field--type-text-with-summary field--label-above\">\n<h3 class=\"field__label\" style=\"text-align: justify;\">Recursos Afectados: Toda persona que haya recibido el correo anteriormente descrito y haya descargado y ejecutado el archivo descargado.<\/h3>\n<\/div>\n<div class=\"clearfix text-formatted field field--name-body field--type-text-with-summary field--label-above\" style=\"text-align: justify;\">\n<h3 class=\"field__label\">Descripci\u00f3n<\/h3>\n<div class=\"field__item\">\n<p class=\"centrable-test-content\">Se ha detectado una campa\u00f1a de distribuci\u00f3n de <em>malware<\/em> a trav\u00e9s de un correo electr\u00f3nico fraudulento <a title=\"Que Es El Phishing | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/blog\/que-es-el-phishing\"><em>(phishing)<\/em><\/a> suplantando a Endesa. En el mensaje se informa que el usuario puede descargar su factura, la cual est\u00e1 adjunta al correo como archivo comprimido .zip, pero en realidad es un archivo .msi, es decir, un archivo ejecutable que en este caso contiene un c\u00f3digo malicioso.<\/p>\n<\/div>\n<\/div>\n<div class=\"clearfix text-formatted field field--name-field-solucion field--type-text-with-summary field--label-above\" style=\"text-align: justify;\">\n<h3 class=\"field__label\">Soluci\u00f3n<\/h3>\n<div class=\"field__item\">\n<p class=\"centrable-test-content\">En caso de que hayas recibido el correo, pero no hayas pulsado en el enlace, m\u00e1rcalo como correo no deseado o <em>spam<\/em> y elim\u00ednalo de tu bandeja de entrada.<\/p>\n<p class=\"centrable-test-content\">En caso de haber descargado el archivo, pero no haberlo ejecutado, busca en tu carpeta de descargas y elim\u00ednalo. Te recomendamos eliminarlo tambi\u00e9n de la papelera.<\/p>\n<p class=\"centrable-test-content\">En caso de que hayas ejecutado el archivo descargado, es posible que tu dispositivo se haya infectado, por lo que te recomendamos llevar a cabo los siguientes pasos:<\/p>\n<ul>\n<li>A\u00edsla el dispositivo o equipo de la Red, es decir, desconecta de la Red de tu hogar el dispositivo para que el <em>malware<\/em> no pueda extenderse a otros dispositivos.<\/li>\n<li>Realiza un an\u00e1lisis exhaustivo con el antivirus actualizado, y en caso de seguir infectado, plant\u00e9ate formatear o resetear tu dispositivo para <a title=\"Desinfeccion | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/ayuda\/desinfeccion\">desinfectarlo<\/a>. Al hacer esto, se perder\u00e1n todos los datos, por lo que recomendamos hacer <a title=\"Copias Seguridad | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/tematicas\/copias-seguridad\">copias de seguridad<\/a> regularmente para conservar los archivos importantes.<\/li>\n<li>Recaba todas las evidencias posibles haciendo capturas de pantalla y guardando el email recibido por si fuese necesario interponer una denuncia ante las <a title=\"Reporte De Fraude | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/ayuda\/reporte-de-fraude\">Fuerzas y Cuerpos de Seguridad del Estado<\/a>. Para ello, puedes ayudarte de <a title=\"Testigos Online Y Obtencion De Pruebas Te Explicamos Su Utilidad | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/blog\/testigos-online-y-obtencion-de-pruebas-te-explicamos-su-utilidad\">testigos online<\/a> y certificar el contenido de las pruebas.<\/li>\n<\/ul>\n<p class=\"centrable-test-content\">Aprende a evitar este tipo de <a title=\"Guia De Ciberataques | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/formacion\/guias\/guia-de-ciberataques\">ataques<\/a>y <a title=\"Virus Amenazas | Ciudadan\u00eda | INCIBE\" href=\"https:\/\/www.incibe.es\/ciudadania\/tematicas\/virus-amenazas\">otros similares<\/a> siguiendo nuestros consejos de prevenci\u00f3n.<\/p>\n<\/div>\n<\/div>\n<div class=\"clearfix text-formatted field field--name-field-detalle field--type-text-with-summary field--label-above\">\n<h3 class=\"field__label\" style=\"text-align: justify;\">Detalle<\/h3>\n<div class=\"field__item\">\n<p class=\"centrable-test-content\" style=\"text-align: justify;\">Se ha detectado una campa\u00f1a de <em>malware<\/em>, la cual est\u00e1 siendo distribuida mediante correo electr\u00f3nico, por una t\u00e9cnica de ingenier\u00eda social llamada <em>phishing<\/em>. En este correo se suplanta la entidad de Endesa con el objetivo de instalar un c\u00f3digo malicioso conocido como <a title=\"Estudio De Analisis De Grandoreiro | INCIBE-CERT | INCIBE\" href=\"https:\/\/www.incibe.es\/incibe-cert\/guias-y-estudios\/estudios\/estudio-de-analisis-de-grandoreiro\">Grandoreiro<\/a> en el dispositivo de la v\u00edctima.<\/p>\n<p class=\"centrable-test-content\" style=\"text-align: justify;\">En el correo se indica al usuario que ya puede descargar su factura correspondiente al per\u00edodo comprendido entre 31 de marzo y 25 de abril a trav\u00e9s de un enlace el cual est\u00e1 adjunto en el cuerpo de este. Este correo va dirigido al usuario que aparece en la direcci\u00f3n de correo.<\/p>\n<p class=\"centrable-test-content\" style=\"text-align: justify;\">La finalidad de este ataque es que la persona que reciba el correo descargue la supuesta factura que esta comprimida en un archivo .zip, y que esta descomprima el archivo y ejecute el <em>malware <\/em>en su dispositivo para que as\u00ed quede infectado.<\/p>\n<p class=\"centrable-test-content\" style=\"text-align: justify;\">A continuaci\u00f3n, se mostrar\u00e1n ejemplos de los correos electr\u00f3nicos recibidos:<\/p>\n<p class=\"centrable-test-content\" style=\"text-align: justify;\"><strong>Correo<\/strong><\/p>\n<p class=\"text-align-center centrable-test-content\" style=\"text-align: justify;\"><img data-recalc-dims=\"1\" loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/www.incibe.es\/sites\/default\/files\/actualidad\/avisos\/2023\/230504_endsa\/correo1.png?resize=640%2C383&#038;ssl=1\" alt=\"\" width=\"640\" height=\"383\" data-entity-type=\"file\" data-entity-uuid=\"1059a722-85df-4d30-a16a-f629c2b548f0\" \/><\/p>\n<p class=\"centrable-test-content\" style=\"text-align: justify;\">El asunto utilizado para este correo: <em>Ya puede descargar su factura. Ref-[n\u00famero factura].<\/em><\/p>\n<p class=\"centrable-test-content\">Una vez pulsado en el enlace, autom\u00e1ticamente se abrir\u00e1 el navegador que el usuario tenga predeterminado en el equipo y empezar\u00e1 la descarga del archivo comprimido.<\/p>\n<p class=\"text-align-center centrable-test-content\"><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/www.incibe.es\/sites\/default\/files\/actualidad\/avisos\/2023\/230504_endsa\/evidencia1.png?w=640&#038;ssl=1\" alt=\"Se muestra la ventana del navegador y en esta se ve como se descarga un fichero comprimido.\"  \/><\/p>\n<p class=\"centrable-test-content\">El archivo se descargar\u00e1 en la carpeta que tenga configurado el usuario, o en su defecto en la carpeta de &#8216;descargas&#8217;. Este archivo ser\u00e1 un comprimido el cual contiene otro fichero.<\/p>\n<p class=\"text-align-center centrable-test-content\"><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/www.incibe.es\/sites\/default\/files\/actualidad\/avisos\/2023\/230504_endsa\/evidencia2.png?w=640&#038;ssl=1\" alt=\"Se muestra una ventana de descarga, con el fichero descargado comprimido y una carpeta con el fichero descomprimido.\"  \/><\/p>\n<p class=\"centrable-test-content\">Una vez descomprimido, si nos damos cuenta, no es el tipo de formato que deber\u00eda de tener un fichero de facturaci\u00f3n, normalmente .pdf, sino que se trata de un ejecutable .msi:<\/p>\n<p class=\"centrable-test-content\"><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/www.incibe.es\/sites\/default\/files\/actualidad\/avisos\/2023\/230504_endsa\/evidencia3.png?w=640&#038;ssl=1\" alt=\"Se muestra una ventana la cual se ve un fichero, y otra ventana con las propiedas de dicho archivo.\"  \/><\/p>\n<p class=\"centrable-test-content\">Si la v\u00edctima ejecutase dicho archivo, el dispositivo de este, quedar\u00eda infectado por el <em>malware<\/em> Grandoreiro, el cual robar\u00e1 la informaci\u00f3n de la misma tanto personal y como del dispositivo infectado.<\/p>\n<\/div>\n<\/div>\n<div class=\"field field--name-field-listado-de-referencias field--type-tablefield field--label-above\">\n<div class=\"field__label\"><a href=\"https:\/\/i0.wp.com\/miradordeatarfe.es\/wp-content\/uploads\/2023\/05\/osi_0.png?ssl=1\"><img data-recalc-dims=\"1\" loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-61122 size-full\" src=\"https:\/\/i0.wp.com\/miradordeatarfe.es\/wp-content\/uploads\/2023\/05\/osi_0.png?resize=149%2C45&#038;ssl=1\" alt=\"\" width=\"149\" height=\"45\" \/><\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Recursos Afectados: Toda persona que haya recibido el correo anteriormente descrito y haya descargado y&#8230;<\/p>\n","protected":false},"author":1,"featured_media":61333,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"enabled":false},"version":2}},"categories":[1161,44,6937,6920,15],"tags":[2059,66],"class_list":["post-61332","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciudadania","category-noticias-de-hoy","category-sociedad","category-tecnologia","category-ultimas-noticias","tag-enganos","tag-fraude"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/miradordeatarfe.es\/wp-content\/uploads\/2023\/05\/Sin-titulo-1.jpeg?fit=311%2C162&ssl=1","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/61332","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=61332"}],"version-history":[{"count":2,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/61332\/revisions"}],"predecessor-version":[{"id":61335,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/61332\/revisions\/61335"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/media\/61333"}],"wp:attachment":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=61332"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=61332"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=61332"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}