A troyanos, spyware y herramientas maliciosas en remoto les gusta el verano

Guardar

ESET ciberataques
ESET ciberataques

Banca y Sanidad son los sectores que han estrenado la estación estival con mayor oleada de ataques cibernéticos. El balance de junio se salda con “un mes bastante continuista” en lo que respecta a las amenazas analizadas en España, si lo comparamos con los anteriores, según ha podido observar el laboratorio de ESET, empresa de referencia en ciberseguridad de la Unión Europea. No obstante, la cosa se ha ido animando según iban pasando las semanas. En particular, los troyanos bancarios, el spyware y las herramientas de control remoto han sido el trío de modalidades protagonistas, con el correo electrónico como principal vector de ataque.

A los troyanos bancarios, más concretamente, los provenientes de Latinoamérica les ha dado por cruzar el charco. Y también con un triplete de renombrados: Casbaneiro, Grandoreiro y Mekotio que, estadísticamente, son los que se han llevado el gato al agua en materia de incidentes relacionados con la seguridad informática.

Las temáticas han seguido estirando las tendencias primaverales, por ejemplo, la suplantación de empresas del sector eléctrico para engañar a los usuarios con falsas facturas. Asimismo, algunos delincuentes volvieron a hacerse pasar por instituciones gubernamentales, como el Ministerio del Interior, para, mediante una notificación fraudulenta del bloqueo del DNI, engañar a los usuarios para que descargasen un archivo malicioso con el que infectar su sistema.

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, prefirieron optar por estrategias más sencillas y no dirigidas exclusivamente a nuestro país, con escuetos correos en inglés y proporcionando enlaces desde donde los que descargar estas amenazas.

A finales de mes, también el laboratorio de ESET analizó y destacó una campaña del troyano bancario Mispadu, de la que informamos en Escudo Digital, y que utilizando como gancho una sencilla web con contenido pornográfico, trataba de convencer a usuarios de México y España de que descargasen un archivo comprimido unido a otra muestra de troyano bancario. Lo curioso de este caso es que, a pesar de que la campaña estaba dirigida a países de habla hispana, todos los mensajes se encontraban en portugués, algo que demuestra que los delincuentes confían en conseguir un éxito aceptable sin demasiado esfuerzo.

A los troyanos bancarios latinoaméricanos les ha dado por cruzar el charco. El email es la puerta de entrada de casi todos los ataques y las entidades suplantadas suelen ser de renombre.

En lo que respecta al mundo de los troyanos específicos paradispositivos Android, en junio también se han dado varios ejemplos dirigidos ausuarios españoles. Uno de ellos suplantaba al Ministerio de Sanidad y desdeuna web fraudulenta ofrecía supuesta información acerca del Covid-19, animandoa descargar una aplicación que terminaba instalando el troyano bancario Ginp. Alos pocos días, se quiso aprovechar el tirón de su efectividad usando unatáctica similar pero suplantando, en esta ocasión, a la Universidad Carlos IIIde Madrid, abriendo así su radio de acción.

Otra de las amenazas que, igualmente, está dando que hablar son las herramientas de control remoto maliciosas, como Agent Tesla o Netwire, que suelen ser usadas por los delincuentes para robar información de los sistemas que infectan. Estas amenazas también se valen del email como puerta de entrada. Una estrategia reciente consiste en enviar los mensajes desde servidores de correo comprometidos pertenecientes a empresas de todo tipo y hacerlos pasar como facturas o justificantes de pago de cualquier empresa o incluso de entidades bancarias.

En realidad, los supuestos justificantes son imágenes con un enlace incrustado desde el cual se descarga un archivo comprimido que contiene el ejecutable y que se encarga de infectar el sistema para dejarlo a merced de los atacantes que así pueden robar aquella información que les interese.

En banca, para hacerse con datos la preferencia de losciberdelincuentes siempre ha sido suplantar a la entidad. Entre otros, el casode BBVA fue bastante sonado, desde su supuesta dirección puesto que aparecía laimagen corporativa en apariencia verdadera. En los ficheros comprimidosadjuntos a ese correo se encontraba un spyware destinado a robar la informaciónpersonal de la víctima.

Del nombre de varias empresas de mensajería también se hanvalido durante junio para realizar ataques. Parece que los delincuentes quierenaprovechar el auge del comercio electrónico y se rifan a aquellos que estánesperando algún paquete de una tienda online para pillarlos con la guardia bajae infectarlos. Otros casos más llamativos vuelven a ser aquellos en los que losdelincuentes suplantan a algún organismo oficial, como la Agencia Tributaria ydel Gobierno de España, y que incluso utilizaban un dominio que, si bien no esoficial, costaba descubrirlo por el esmero puesto en la falsificación.

Tampoco la Policía Nacional se ha librado de ser objetivo.Los delincuentes han llegado a falsear la firma de su director general ensemanas pasadas, en un correo en el que se avisaba al usuario de ser un posiblesospechoso en la investigación de un delito de fraude bancario. Acompañando alemail venía un fichero adjunto con la herramienta de control remoto Nanocore,usada, de nuevo, para conseguir información confidencial.

Durante el mes analizado, los investigadores de ESETaprovecharon para presentar algunas de las investigaciones sobre riesgospersistentes incluso desde principios de año. Como recordatorio, mencionar algrupo Gamaredon, que también dio titular en nuestra publicación por habermodernizado su arsenal de herramientas. Además, se ha constatado ahora suvinculación a InvisiMole, con métodos más sofisticados y sigilosos. Lacolaboración entre ambos grupos consiste en que este segundo se quedaría conaquellos objetivos de mayor valor contra los que se ha realizado un ataqueinicial por Gamaredon.

Por último, estos estudios han arrojaron luz sobre lascampañas de la Operación In(ter)ception, orientada a objetivos del sectoraeroespacial y militar en Europa. Uno de los aspectos más interesantes de estegrupo era el gancho que lanzaban para la consecución de sus objetivos:contactando con empleados de las empresas seleccionadas a través de LinkedIn yofreciéndoles interesantes ofertas de trabajo para que aceptasen descargar yejecutar documentos maliciosos. Los actuales problemas laborales y los que seaventuras venideros hacen prever a los expertos un boom de este tipo de cebosque juegan con las ofertas de empleo. Normalmente parece que el calor aplacalos ánimos y los ritmos; aunque en cuestión de ciberseguridad no se aventuradesgana en los ciberatacantes para los próximos meses. Al revés, si el veranonos relaja; ellos, dos tazas.