Es el momento de prestar más atención que nunca al correo electrónico. Según informa el laboratorio de ESET, en los últimos meses se está produciendo un tremendo impacto en la ciberseguridad española por culpa de los troyanos bancarios brasileñós Grandoreiro y Mekoitio, que han sido definidos como los troyanos que prefieren infectar a usuarios españoles de banca, aunque "hablen portugués".
ESET alerta además de un incremento notable de campañas que incluso llegan a solaparse entre ellas. Grandoeiro, junto con otras similares amenazas originadas en la misma región, se ha convertido en un serio peligro para aquellos usuarios que utilizan sus ordenadores para realizar operaciones con servicios de banca online, y especialmente entre aquellos que han empezado a usarlos hace poco debido a la situación de confinamiento que se impuso por la pandemia provocada por la COVID-19, personas que no estaban familiarizadas con el uso de la banca online.
Suplantan a la Agencia Tributaria y a Vodafone
Esta misma semana el laboratorio de ESET ha detectado numerosos correos, supuestamente de organismos como la Agencia Tributaria, propagando esta amenaza. Los delincuentes han aprovechado la misma plantilla para suplantar la identidad de Vodafone, incluyendo un enlace desde donde se descarga la misma muestra que en el caso del falso correo de la Agencia Tributaria.
Los dominios usados para redirigir a la descarga del malware han sido registrados en las últimas horas desde Brasil, país de procedencia de estas amenazas, tanto en el caso del correo de la Agencia Tributaria como en el de Vodafone.
El envío de estos correos con poco margen de tiempo entre ellos puede deberse a una estrategia por intentar conseguir el mayor número de víctimas posible, usando dos temáticas completamente diferentes. Se trata de un sistema indiscriminado de ciberataque en el que ante la magnitud de envios es muy fácil encontrar un enorme número de víctimas.
“El hecho de que tanto Grandoreiro como Mekotio estén centrándose en atacar usuarios en España, dejando de lado a otras posibles víctimas ubicadas en otros países, demuestra que están obteniendo un éxito notable en nuestro país”
Tal y como advierten desde el laboratorio de ESET, Grandoreiro no ha sido el único troyano bancario brasileño que se ha estado propagando con intensidad durante las últimas horas en España. También lo ha hecho Mekotio, quien ha utilizado la misma plantilla suplantando a la Agencia Tributaria.
La cadena de infección actual de Mekotio se distingue de la de Grandoreiro en que los delincuentes descargan diferentes instaladores del malware dependiendo de si el sistema es de 32 o de 64 bits.
Recurren al lenguaje AutoHotkey
El uso del lenguaje AutoHotkey por parte de los desarrolladores de esta amenaza es algo que se ha utilizado desde hace unas semanas y que supone un rasgo característico de Mekotio que lo diferencia de otras amenazas similares. Se trata de un lenguaje de scripting para Windows, completamente gratuito y open-source, que te permite crear fácilmente scripts sencillos, o tan complejos como se desee, con el fin de automatizar tareas como rellenar formularios, generar macros, etc.
Además del correo suplantando a la Agencia Tributaria, Mekotio también ha usado en las últimas horas otra plantilla que fue usada recientemente por Grandoreiro y que suplanta al Ministerio de Trabajo español.
“El hecho de que tanto Grandoreiro como Mekotio estén centrándose en atacar usuarios en España, dejando de lado a otras posibles víctimas ubicadas en otros países, demuestra que están obteniendo un éxito notable en nuestro país”, alerta Josep Albors, responsable de concienciación e investigación en ESET España. “Además, que ambos grupos de delincuentes compartan plantillas y algunas técnicas de ataque y scripts demuestra que existe una colaboración intensa entre ellos”.
Recomendaciones para no picar
- Desde ESET se recuerda que es conveniente que los usuarios revisen los correos que reciben con cuidado, evitando pulsar sobre enlaces o abrir ficheros no solicitados.
- Acudir siempre a la web oficial de la empresa u organismo público para resolver posibles dudas.
- Recurrir a un antivirus actualizado que sea capaz de detectar y eliminar estas y muchas otras amenazas.