Barómetro de ciberseguridad de ESET del mes de abril: el troyano bancario Grandoreiro hace estragos

214
Troyano bancario grandoreiroiro protagoniza ciberataques en el mes de abril del 2020

Abrir las cuentas del correo electrónico se está convirtiendo para muchos españoles en un paseo por un campo de minas. Los correos de phishing cada vez van adquiriendo una mayor perfección técnica e imaginativa. Nos llegan mensajes de todos los bancos, y en alguno de ellos tenemos cuenta. Si no andamos con ojo y tenemos prisa, es fácil caer.

La mayor parte de la población mundial está confinada. Unos teletrabajan y otros consultan sus corrreos habituales. Según un estudio del laboratorio ESET, empresa de ciberseguridad de la Unión Europea, si hay un vector de ataque que haya destacado estas últimas semanas sobre los demás es, sin lugar a dudas, el correo electrónico.

Desde antes del confinamiento, ya veíamos cómo los delincuentes estaban reactivando sus campañas de propagación de amenazas usando este tradicional método, y en el último mes esta tendencia se ha confirmado. Eso sí, no ha habido tantas campañas intentando aprovecharse de la crisis sanitaria usando una temática relacionada con el Covid-19, o al menos no tantas dirigidas a usuarios españoles, como en el mes de marzo.

Sin embargo, los delincuentes han seguido distribuyendo sucesivas oleadas de correos maliciosos con diferentes temáticas, algo que muy probablemente les haya reportado importantes beneficios a un coste bastante bajo.

Otra familia de RAT, como Agent Tesla, también ha protagonizado numerosas campañas de propagación usando el correo electrónico y suplantando a empresas de mensajería

Entre las campañas más destacadas, encontramos las protagonizadas por la herramienta de control remoto (RAT por sus siglas en inglés) Netwire. Mediante el uso de supuestas facturas enviadas por email e incluso suplantando a la empresa Correos Express, los delincuentes tratan de que los usuarios se descarguen un fichero malicioso desde un enlace alojado normalmente en algún servicio gratuito como Mediafire.

Otra familia de RAT, como Agent Tesla, también ha protagonizado numerosas campañas de propagación usando el correo electrónico y suplantando a empresas de mensajería. De la misma forma, el malware Trickbot (asociado con el robo de información) ha seguido usando la temática del coronavirus para conseguir nuevas víctimas a las que infectar después de que estas abran los documentos con macros maliciosas que suele adjuntar.

El enorme peligro de Grandoreiro, el virus troyano que llegó de Brasil

Especialmente preocupante ha sido el incremento de campañas de correos maliciosos (malware) dirigidas a usuarios españoles durante el mes de abril. Una de las más destacadas ha estado protagonizada por el troyano bancario Grandoreiro, originario de Brasil y que desde hace unas semanas ha empezado a tener como objetivos a varios países europeos, entre los que destaca España.

Durante el pasado mes, hemos visto cómo los delincuentes, detrás de estas campañas, han utilizado en repetidas ocasiones supuestas facturas pendientes de pago de empresas como Lucera o Iberdrola de gancho para que los usuarios descarguen y ejecuten el malware.

De forma similar a Netwire, estás amenazas también se alojaban en servicios como Mediafire, aunque el malware de primera fase (el que se encarga de descargar el troyano bancario) suele estar alojado en dominios registrados por los delincuentes. También hemos visto cómo se lanzaban otras campañas de malware muy específicas y que suplantaban, en este caso, a la Agencia Tributaria con motivo de la campaña de la renta que actualmente está activa; a la Seguridad Social, con un mensaje de un supuesto reembolso; o incluso al Ministerio de Trabajo, amenazando con una supuesta inspección. “No es extraño ver que los delincuentes adaptan sus campañas a cada país o región”, indica Josep Albors, responsable de investigación y concienciación de ESET España.

“Sin embargo, hemos analizado varias campañas dirigidas a España con poco tiempo de diferencia y esto podría indicar que varios grupos criminales tienen a nuestro país en su punto de mira y quieren aprovecharse de la situación actual”. Siguiendo con los ataques dirigidos especialmente contra usuarios españoles, durante el mes de abril hemos visto numerosos casos de phishing bancario que tenían como objetivo a clientes de banca online ubicados en España. Muchos de estos casos utilizaban mensajes SMS, con un enlace acortado como vector de ataque, llegando a suplantar a entidades como el Banco Santander, Bankia o Bankinter.

Además, varias fuentes se hicieron eco de una campaña de propagación de malware de criptominería oculto en supuestos archivos que contendrían películas recientes y que estarían dirigidas a un público español o latinoamericano.

Películas de Hollywood gratis, como cebo y macrocampaña de sextorsion

sextortion

Entre los ficheros usados como cebo por los delincuentes se encuentran grandes éxitos de Hollywood y películas españolas de reciente estreno. Los casos de sextorsión también volvieron a producirse durante el pasado mes de abril y, a pesar de tratarse de un mensaje en inglés, la magnitud de la campaña y el hecho de que esta se alargase durante varios días puso en alerta a más de un usuario, independientemente de su idioma nativo.

Con un elevado número de profesionales teletrabajando desde casa, no era de extrañar que los delincuentes pusieran su atención en algunas de las herramientas que han experimentado un mayor incremento en su uso, tales como Zoom o Microsoft Teams.

Durante el mes de marzo ya vimos cómo aparecían numerosas vulnerabilidades en Zoom y esta aplicación era objeto de varios ataques. En el mes de abril se han ido repitiendo los incidentes de seguridad en esta aplicación, a la vez que sus responsables aplicaban los parches correspondientes.

También supimos de la comercialización de dos exploits para Zoom que se aprovecharían de vulnerabilidades críticas. En el caso de uno de estos exploits, estaríamos ante un aprovechamiento de una vulnerabilidad que permitiría la ejecución remota de código y algunas fuentes apuntan a que se estaría ofreciendo más de medio millón de dólares por él.

Por su parte, Microsoft Teams solucionó otra vulnerabilidad que permitía obtener información confidencial de aquellas empresas que estuviesen usando esta solución con tan solo enviar un archivo GIF malicioso a un usuario.

Esta vulnerabilidad era posible gracias a la existencia de dos dominios vulnerables, a los cuales un atacante podría redirigir a sus víctimas y recibir así su cookie de sesión para, seguidamente, crear un token de Skype y robar los datos relacionados con la cuenta de Teams de la víctima.

Por último, aunque no por ello menos importante, en abril también se publicaron dos graves vulnerabilidades para dispositivos iOS como el iPhone, gracias a las cuales un atacante podría comprometer la seguridad de estos dispositivos con tan solo enviar un email especialmente modificado al buzón de la víctima. Al parecer, estas dos vulnerabilidades habrían sido aprovechadas desde hace años para realizar una serie de ataques dirigidos a objetivos muy concretos.