Detectada una campaña fraudulenta de tipo phishing que suplanta la identidad de EDP y cuyo propósito es instalar malware en el equipo de la víctima.

Es importante aclarar que se trata de una suplantación que utiliza la imagen de la empresa para cometer el fraude y, en ningún caso, afecta a la seguridad de los servicios de la entidad. Aunque hemos detectado correos en portugués, no descartamos que esta campaña pueda afectar a los usuarios españoles próximamente.

Recursos afectados

Cualquier cliente de EDP que reciba un correo electrónico con las características descritas anteriormente.

Solución

Escanea el equipo con un antivirus actualizado.

Si has recibido el correo pero no has ejecutado el archivo « wmjh5aa3b8.js » tu equipo no se habrá infectado.

No bajes la guardia y permanece atento. Si se cuela en tu bandeja de entrada algún email cuyo asunto es igual o parecido al que hemos descrito en este correo, elimínalo directamente. En ningún caso accedas a enlaces que éste pueda facilitar ni descargues y/o ejecutes posibles ficheros que puedan traer adjuntos.

Realiza copias de seguridad, en un soporte que no esté conectado al ordenador (excepto al hacer la copia) de toda la información que consideres imprescindible para ti, para que en caso de que tu ordenador se vea afectado por algún incidente de seguridad, no la pierdas. Si necesitas ayuda para realizar esta tarea, no dejes de consultar los siguientes contenidos:

  1. ¡Qué no te pase a ti
  2. ¿En la nube o en casa? Cómo elegir el almacenamiento más seguro
  3. ¿Tienes asegurada tu vida 2.0? Haz copias de seguridad
  4. ¿Y las fotos de las vacaciones? En el ordenador que no arranca...

Recomendaciones

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  2. No contestes en ningún caso a estos correos.
  3. Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  4. Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
  5. Si vas a acceder a la sección de clientes de EDP asegúrate de que el certificado coincida.

Certificado de la página legítima de Edpenergía.es

 

Detalles

Los correos electrónicos detectados tienen como remitente a «Financeiro suporte@edp.pt» y los asuntos tienen el mismo formato, incluye un par de palabras en Portugués y varía la numeración final:

  1. Aviso Importante Cliente EDP - Portugal, Fatura disponivel ID:104846467-006
  2. Aviso Importante Cliente EDP - Portugal, Fatura disponivel 1648255-00001
  3. Aviso Importante Cliente EDP - Portugal, Fatura disponivel 1648255-0006

La siguiente imagen muestra el cuerpo del correo electrónico.

Correo que suplanta a EDP, con el aviso de la falsa factura

El correo tiene un enlace con el literal “Download PDF Fatura EDP” que al acceder a él redirige a una página en la que tras unos segundos de espera se descarga un fichero comprimido, el nombre es aleatorio, el que hemos descargado nosotros es «wmjh5aa3b8.zip».

Fichero comprimido donde viene el malware

El fichero comprimido contiene un archivo JavaScript llamado igual que el fichero comprimido pero con extensión js, en nuestro caso «wmjh5aa3b8.js» que al ser ejecutado instalará malware en el equipo de la víctima.

Malware en formato JAvaScript que descargará más malware

Antes de que se pueda ejecutar nos pedirá confirmar si deseamos abrir un documento que proviene de Internet, indicándonos el riesgo de la ejecución de ficheros descargados.

Aviso de seguridad sobre la ejecución de un fichero descargado de internet

A continuación el Control de cuentas de usuario nos pide confirmación para permitir que este programa realice cambios en el equipo.

Aviso del Control de Cuentas de Usuario sobre la ejecución del fichero.

Si permitimos esa ejecución, estamos dando permiso al malware para que se instale en nuestro equipo.

En las pruebas que hemos realizado no se han encontrado evidencias de que sea un ransomware pero no es descartable. 

Este malware ya es detectado por algunos antivirus, y es de esperar que breve todos los antivirus lo incluyan en su base de datos.

Salida de virustotal del fichero que se descarga