Barómetro ESET NOD32 mensual de seguridad

A troyanos, spyware y herramientas maliciosas en remoto les gusta el verano

44
ESET ciberataques

Banca y Sanidad son los sectores que han estrenado la estación estival con mayor oleada de ataques cibernéticos. El balance de junio se salda con “un mes bastante continuista” en lo que respecta a las amenazas analizadas en España, si lo comparamos con los anteriores, según ha podido observar el laboratorio de ESET, empresa de referencia en ciberseguridad de la Unión Europea. No obstante, la cosa se ha ido animando según iban pasando las semanas. En particular, los troyanos bancarios, el spyware y las herramientas de control remoto han sido el trío de modalidades protagonistas, con el correo electrónico como principal vector de ataque.

A los troyanos bancarios, más concretamente, los provenientes de Latinoamérica les ha dado por cruzar el charco. Y también con un triplete de renombrados: Casbaneiro, Grandoreiro y Mekotio que, estadísticamente, son los que se han llevado el gato al agua en materia de incidentes relacionados con la seguridad informática.

Las temáticas han seguido estirando las tendencias primaverales, por ejemplo, la suplantación de empresas del sector eléctrico para engañar a los usuarios con falsas facturas. Asimismo, algunos delincuentes volvieron a hacerse pasar por instituciones gubernamentales, como el Ministerio del Interior, para, mediante una notificación fraudulenta del bloqueo del DNI, engañar a los usuarios para que descargasen un archivo malicioso con el que infectar su sistema.

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, prefirieron optar por estrategias más sencillas y no dirigidas exclusivamente a nuestro país, con escuetos correos en inglés y proporcionando enlaces desde donde los que descargar estas amenazas.

A finales de mes, también el laboratorio de ESET analizó y destacó una campaña del troyano bancario Mispadu, de la que informamos en Escudo Digital, y que utilizando como gancho una sencilla web con contenido pornográfico, trataba de convencer a usuarios de México y España de que descargasen un archivo comprimido unido a otra muestra de troyano bancario. Lo curioso de este caso es que, a pesar de que la campaña estaba dirigida a países de habla hispana, todos los mensajes se encontraban en portugués, algo que demuestra que los delincuentes confían en conseguir un éxito aceptable sin demasiado esfuerzo.

A los troyanos bancarios latinoaméricanos les ha dado por cruzar el charco. El email es la puerta de entrada de casi todos los ataques y las entidades suplantadas suelen ser de renombre.

En lo que respecta al mundo de los troyanos específicos para dispositivos Android, en junio también se han dado varios ejemplos dirigidos a usuarios españoles. Uno de ellos suplantaba al Ministerio de Sanidad y desde una web fraudulenta ofrecía supuesta información acerca del Covid-19, animando a descargar una aplicación que terminaba instalando el troyano bancario Ginp. A los pocos días, se quiso aprovechar el tirón de su efectividad usando una táctica similar pero suplantando, en esta ocasión, a la Universidad Carlos III de Madrid, abriendo así su radio de acción.

Otra de las amenazas que, igualmente, está dando que hablar son las herramientas de control remoto maliciosas, como Agent Tesla o Netwire, que suelen ser usadas por los delincuentes para robar información de los sistemas que infectan. Estas amenazas también se valen del email como puerta de entrada. Una estrategia reciente consiste en enviar los mensajes desde servidores de correo comprometidos pertenecientes a empresas de todo tipo y hacerlos pasar como facturas o justificantes de pago de cualquier empresa o incluso de entidades bancarias.

En realidad, los supuestos justificantes son imágenes con un enlace incrustado desde el cual se descarga un archivo comprimido que contiene el ejecutable y que se encarga de infectar el sistema para dejarlo a merced de los atacantes que así pueden robar aquella información que les interese.

En banca, para hacerse con datos la preferencia de los ciberdelincuentes siempre ha sido suplantar a la entidad. Entre otros, el caso de BBVA fue bastante sonado, desde su supuesta dirección puesto que aparecía la imagen corporativa en apariencia verdadera. En los ficheros comprimidos adjuntos a ese correo se encontraba un spyware destinado a robar la información personal de la víctima.

Del nombre de varias empresas de mensajería también se han valido durante junio para realizar ataques. Parece que los delincuentes quieren aprovechar el auge del comercio electrónico y se rifan a aquellos que están esperando algún paquete de una tienda online para pillarlos con la guardia baja e infectarlos. Otros casos más llamativos vuelven a ser aquellos en los que los delincuentes suplantan a algún organismo oficial, como la Agencia Tributaria y del Gobierno de España, y que incluso utilizaban un dominio que, si bien no es oficial, costaba descubrirlo por el esmero puesto en la falsificación.

Tampoco la Policía Nacional se ha librado de ser objetivo. Los delincuentes han llegado a falsear la firma de su director general en semanas pasadas, en un correo en el que se avisaba al usuario de ser un posible sospechoso en la investigación de un delito de fraude bancario. Acompañando al email venía un fichero adjunto con la herramienta de control remoto Nanocore, usada, de nuevo, para conseguir información confidencial.

Durante el mes analizado, los investigadores de ESET aprovecharon para presentar algunas de las investigaciones sobre riesgos persistentes incluso desde principios de año. Como recordatorio, mencionar al grupo Gamaredon, que también dio titular en nuestra publicación por haber modernizado su arsenal de herramientas. Además, se ha constatado ahora su vinculación a InvisiMole, con métodos más sofisticados y sigilosos. La colaboración entre ambos grupos consiste en que este segundo se quedaría con aquellos objetivos de mayor valor contra los que se ha realizado un ataque inicial por Gamaredon.

Por último, estos estudios han arrojaron luz sobre las campañas de la Operación In(ter)ception, orientada a objetivos del sector aeroespacial y militar en Europa. Uno de los aspectos más interesantes de este grupo era el gancho que lanzaban para la consecución de sus objetivos: contactando con empleados de las empresas seleccionadas a través de LinkedIn y ofreciéndoles interesantes ofertas de trabajo para que aceptasen descargar y ejecutar documentos maliciosos. Los actuales problemas laborales y los que se aventuras venideros hacen prever a los expertos un boom de este tipo de cebos que juegan con las ofertas de empleo. Normalmente parece que el calor aplaca los ánimos y los ritmos; aunque en cuestión de ciberseguridad no se aventura desgana en los ciberatacantes para los próximos meses. Al revés, si el verano nos relaja; ellos, dos tazas.