Los troyanos bancarios latinoamericanos intensifican su actividad delictiva en España

 

Los troyanos bancarios provenientes de Latinoamérica ya son una constante desde que, a principios de año, empezaran a propagarse con intensidad también en nuestro país. Según el barómetro de seguridad mensual de Eset, existen varias familias de estos troyanos bancarios y parece que se van turnando cada mes a la hora de lanzar sus campañas en España. “Si el mes pasado destacábamos la actividad del troyano bancario Mekotio, en julio ha tomado el relevo Grandoreiro, con sucesivas campañas que utilizan correos electrónicos que se hacen pasar por facturas de empresas aseguradoras, de telecomunicaciones o energéticas, por poner solo unos ejemplos”, explican sus expertos.

El informe habla de un tercer troyano, Mispadu, que ha llevado a cabo un par de nuevas campañas y que destaca un vector de ataque “un tanto diferente”, ya que lo hemos visto utilizar como gancho en campañas de cupones descuento en Amazon y supuestos avisos de Facebook por subir imágenes con contenido inapropiado.

Eset no prevé que disminuya este tipo de campañas de propagación a corto plazo. “El aumento considerable del uso de la banca online provocado por la situación excepcional que vivimos hace que muchos usuarios con poca experiencia en su manejo sean las víctimas perfectas”, argumenta.

Por otro lado, además de los numerosos casos de filtraciones de información que se han seguido produciendo durante las últimas semanas, el malware especializado en el robo de datos ha seguido siendo una constante durante el mes de julio. El laboratorio de ESET ha observado durante julio numerosos ejemplos de este tipo de amenazas especializadas en el robo de información, principalmente en la forma de correos con una supuesta factura adjunta o envíos de paquetería pendientes de entrega. En la mayoría de casos detectados, los delincuentes adjuntan un fichero comprimido que contiene algún tipo de fichero ejecutable malicioso, aunque también hemos observado ejemplos de emails que proporcionan un enlace de descarga en lugar de adjuntar el archivo.

Tras realizarse toda la cadena de infección se suele instalar alguna herramienta de control remoto, como Agent Tesla, Formbook o similares, que permite al atacante recopilar la información que busca en forma de credenciales. Como ya hemos indicado, esta información luego puede ser utilizada para acceder a la red corporativa.

Otros casos de amenazas clásicas que siguen obteniendo buenos resultados para los delincuentes son aquellos en los que se suplanta la identidad de alguna empresa conocida para tratar de hacerse con los datos (normalmente de la tarjeta de crédito) de sus víctimas.

Durante las últimas semanas se han observado desde el más clásico phishing bancario hasta el regalo de supuestos cupones para hacer compras en supermercados de reconocidas marcas. Asimismo, la suplantación de empresas de mensajería o incluso del servicio nacional de Correos también ha ido aumentando, algo lógico viendo el importante aumento que han experimentado las compras online y el envío de paquetería.

La firma también resalta que estafas antiguas como las del falso soporte técnico y otras un poco más actuales como los casos de sextorsión han vuelto a aparecer durante las últimas semanas. Ambas son fácilmente reconocibles y, aunque se ha escrito mucho sobre ellas, no son pocos los usuarios que aún caen en este tipo de trampas.

Tampoco no se puede obviar entre los hechos destacados que, tras cinco meses sin apenas actividad, la botnet responsable de la propagación de Emotet volvió a activarse a mediados de julio con un envío masivo de correos electrónicos. Una semana después vimos cómo ya se empezaban a personalizar estos correos, detectándose también campañas en nuestro idioma, entre otros.

La reactivación de esta botnet es una mala noticia porque es una de las amenazas que mayor adaptabilidad han demostrado en los últimos años. WLa infección de un sistema por parte de Emotet suele ser solo el primer paso de una cadena que suele seguir con el robo de información y terminar con el cifrado del sistema con un ransomware”, explica la compañía de seguridad.

Por este motivo, considera fundamental permanecer atentos y seguir el rastro a la evolución de esta botnet, ya que es capaz de causar graves daños al propagar malware en redes corporativas de empresas de todos los tamaños si no se toman las medidas adecuadas.