España sufre una oleada de ataques con troyanos bancarios

Recomendados:  Las empresas españolas aceptan lentamente los desafíos de la ciberseguridad (Informe Forbes Insights) Leer  Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Webinar ondemand

El mes de junio ha sido bastante continuista en lo que respecta a las amenazas analizadas en España si lo comparamos con los meses anteriores, siendo los troyanos bancarios, el spyware y las herramientas de control remoto la tónica predominante durante el mes, con el correo electrónico como principal vector de ataque.

Según ha podido observar el laboratorio de ESET, las campañas de propagación de troyanos bancarios y, más concretamente, los troyanos bancarios provenientes de Latinoamérica (como Casbaneiro, Grandoreiro y Mekotio) han seguido protagonizando la actualidad en materia de incidentes relacionados con la seguridad informática. Ya sea suplantando empresas del sector eléctrico para engañar a los usuarios con falsas facturas, o haciéndose pasar por instituciones gubernamentales, como el Ministerio del Interior, para, mediante una notificación fraudulenta del bloqueo del DNI, engañar a los usuarios para que descargasen un archivo malicioso con el que infectar su sistema.

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, optaron por estrategias más sencillas y no dirigidas exclusivamente a nuestro país, con escuetos correos en inglés y proporcionando enlaces desde donde los que descargar estas amenazas. A finales de mes también se produjo una campaña del troyano bancario Mispadu que, utilizando como gancho una sencilla web con contenido pornográfico, trataba de convencer a usuarios de México y España de que descargasen un archivo comprimido que contenía otra muestra de troyano bancario.

En lo que respecta al mundo de los troyanos para dispositivos Android, en junio también vimos varios ejemplos dirigidos a usuarios españoles. Uno de ellos suplantaba al Ministerio de Sanidad y desde una web fraudulenta ofrecía supuesta información acerca de la COVID-19, animando a descargar una aplicación que terminaba instalando el troyano bancario Ginp. Este mismo troyano fue observado pocos días después usando una táctica similar, pero suplantando, en esta ocasión, a la Universidad Carlos III de Madrid.

Otra de las amenazas que más está dando que hablar son las herramientas de control remoto maliciosas, como Agent Tesla o Netwire, que suelen ser usadas por los delincuentes para robar información de los sistemas que infectan, y que también suelen utilizar el correo electrónico como vector de ataque principal. Una de las técnicas más usadas recientemente consiste en enviar emails desde servidores de correo comprometidos pertenecientes a empresas de todo tipo y haciendo pasar estos correos por facturas o justificantes de pago de cualquier empresa o incluso de entidades bancarias.

Durante el mes pasado también se detectó un email suplantando la identidad de BBVA, que propagaba un spyware destinado a robar la información personal de la víctima. Se utilizó asimismo el nombre de varias empresas de mensajería para propagar este tipo de amenazas. Sin embargo, los casos más llamativos vuelven a ser aquellos en los que los delincuentes suplantan a algún organismo oficial, como la Agencia Tributaria y el Gobierno de España.

Tampoco la Policía Nacional se libra de este tipo de suplantación. Los delincuentes han llegado a falsificar la firma de su director general actual en un correo en el que se avisaba al usuario de ser un posible sospechoso en la investigación de un delito de fraude bancario. Acompañando al correo venía un fichero adjunto con la herramienta de control remoto Nanocore, usada, de nuevo, para robar información confidencial.