Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Campaña suplantación EnergíaXXI, DHL y Endesa

Durante el fin de semana (comenzando el sábado 11, pero especialmente el domingo 12), se ha observado una serie de envíos de correos de phishing suplantando la identidad de EnergíaXXI, DHL y Endesa.
13 Jul 2020

ANÁLISIS
Todos los mensajes detectados tratan sobre la misma campaña. 

Para el mensaje identificado de EnergíaXXI, se observa un mensaje sobre un imprevisto con el pago de su cuenta y muestra un enlace para, supuestamente, descargar la factura. El asunto del mismo es Tu factura de luz. La campaña comenzó a observarse los días 11 y 12 de julio.

Para el mensaje identificado de DHL, se observa un mensaje sobre un código de seguimiento de un pedido y muestra un enlace para, supuestamente, "trackear" el envío. El asunto del mismo es Trackea tu envio . La campaña comenzó a observarse el domingo 12 de julio.

Para el mensaje identificado de Endesa, también se observa un mensaje sobre un imprevisto con el pago de su cuenta y muestra un enlace para, supuestamente, descargar la factura. El asunto del mismo es Descargar Su Factura . La campaña comenzó a observarse hoy día 13 de julio.

Todos los correos contienen un archivo malicioso que no se debe abrir bajo ningún concepto.

El malware es un archivo .msi que, al ejecutarse, contacta contra su C&C y descarga un .zip con dos librearías .dll y otro ejecutable .exe. Se asocia el malware con troyano bancario.

Se proporcionan al final del mensaje los Indicadores de Compromisos detectados hasta el momento.

RECOMENDACIONES
•Se debe evitar abrir los documentos adjuntos de fuentes desconocidas, así como clicar en enlaces sospechosos.
•En caso de haberlo hecho, desconectar el usuario de la red y notificar de inmediato.
•Filtrar los IOCs proporcionados.

IOCs

Dominios:
hxxps://ltltcon[.]org/2019/sites/images/?ENERGIAXXI
hxxps://ltltcon[.]org/email/?ENDESAFACTURA1029381747205943923
hxxps://s32.rapidgator[.]net/download/185ea316-f78a-4555-94f7-d1037afdc7db
hxxps://rapidgator[.]net/file/df8dfdeda1e33ad539420f9d11c63883/rhg-kFichero-ES.zip.html
hxxps://s19.rapidgator[.]net/download/5e803eab-4010-4cc7-a338-c47f72ef1765
hxxp://homolog.cursointellectus[.]com.br/images/?DHL 
hxxp://www.adonis-co[.]com/wtd/eztwenvityfaicinve.djx
ds24.partizansk[.]org

Orígenes:
root@ams[.]com
root@balance[.]com

Hash/Nombre fichero:
175fdea9d9d27db0ee6888669dd3bdcb88c809bd rhg-kFichero-ES.msi 
75e2102cdc5572b6ee268b75bd631d48f36bb616 NE9OQD0RJ3FZ2J9AP1P8MVM3WU0SB1UZL6C
8ce5ca251376345220fa502930e4339cfbd7721d SZHPRER3DPJOJS1678IHYUNX3X
093df27da6b0384e752db0f3651c445109a2ce7a XL6MY69M3GGRA9MBDSSEGEP573

REFERENCIAS
Inteligencia privada de Lab52

Artículos relacionados
Vulnerabilidades en productos de Cisco 2025
Leer más →
Vulnerabilidades en SAP NetWeaver AS Java 2025
Leer más →
Vulnerabilidades en SureTriggers 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día