Troyanos bancarios, infostealers, estafas de criptomonedas y el regreso de Emotet, principales amenazas de marzo

  • Actualidad

ciberamenaza malware ataque generica

Marzo ha estado cargado de ciberamenazas y así lo ha plasmado ESET en su resumen del mes. A las amenazas habituales, como los troyanos bancarios, infostealers o los fraudes relacionados con criptomonedas, se ha sumado la reaparición de la actividad de Emotet y campañas para explotar fechas destacadas, como la celebración del 8 de marzo o del Día del Padre.

Un tipo de malware que aparece todos los meses en estos resúmenes de amenazas dirigidas a España es el relacionado con el robo de información y, más concretamente, con el robo de credenciales almacenadas en todo tipo de aplicaciones de uso cotidiano en empresas. De estas amenazas, el malware Formbook es una de las más persistentes y el mes de marzo no iba a ser una excepción, con correos haciéndose pasar por supuestas transferencias de dinero y pagos.

También es frecuente ver casos protagonizados por las familias de troyanos bancarios con origen en Latinoamérica Mekotio y Grandoreiro, y el pasado mes pudimos comprobar que los delincuentes detrás de estas amenazas siguen usando ganchos como citaciones judiciales o comprobantes de pago para hacer caer a las víctimas en su trampa, robarles el acceso a sus cuentas bancarias y transferir dinero a cuentas controladas por muleros que luego se encargan de transferir ese dinero robado a los delincuentes.

Otra estafa recurrente que también regresó durante marzo fue la de las supuestas inversiones en criptomonedas que se aprovechan de la imagen y popularidad de algunos famosos para dotar a sus estafas de cierta credibilidad. En esta ocasión vimos campañas por email usando sin permiso la imagen de Pablo Motos o Jorge Sanz, que terminaban redirigiendo a un portal web animando a todo el que lo visitase a hacerse rico invirtiendo en estas criptodivisas.

En marzo también contemplamos el regreso de una amenaza que ha dado mucho que hablar durante los últimos años y que se había tomado un descanso de unos meses. Se trata de Emotet, amenaza utilizada como malware de primera fase para propagar todo tipo de códigos maliciosos.

De momento se han observado varias campañas de correos maliciosos en inglés y japonés, aunque "no sería nada extraño que empecemos a ver nuevamente correos en español dentro de poco", señala la firma de ciberseguridad. Ahora como técnica, los ciberdelincuentes han pasado a usar ficheros OneNote en lugar de documentos Word y Excel para tratar de eludir las restricciones impuestas por Microsoft hace unos meses con respecto a la ejecución de macros.

Campañas articuladas en torno a fechas señaladas
Marzo es un mes con algunas celebraciones destacadas como el Día Internacional de la Mujer o el Día del Padre, fechas que los delincuentes no han dudado en aprovechar preparando campañas específicas. Por ejemplo, para el 8 de marzo se utilizó como gancho una supuesta promoción de la cadena de perfumerías Druni enviando mensajes a través de WhatsApp. En esta falsa promoción se ofrecían tarjetas regalo por valor de 800 euros, aunque la finalidad real era la de recopilar información personal de tantos usuarios como fuera posible.

La misma estrategia se utilizó pocos días después aprovechando la celebración del Día del Padre, pero suplantando esta vez a la cervecera Mahou y a la cadena de bricolaje Leroy Merlin y ofreciendo neveras repletas de cerveza y taladros como regalo. La finalidad seguía siendo la recopilación de datos personales y como método de propagación se volvían a utilizar mensajes de WhatsApp, algo que les ha resultado efectivo a los delincuentes en campañas anteriores y que seguiremos viendo en el futuro.

La utilización de mensajes de WhatsApp también se ha observado en campañas que suplantaban a la ONG Cáritas ofreciendo un supuesto bono alimentario desde una web fraudulenta. Esto demuestra, una vez más, que los delincuentes no tienen reparo alguno en suplantar a cualquier tipo de empresa, organización o administración pública con tal de conseguir su objetivo.

Además, estando cerca las vacaciones de Semana Santa, también se han producido campañas de correos que se hacen pasar por conocidas empresas especializadas en la reserva de billetes de transporte y hoteles como Booking. En estos casos comprobamos como la finalidad de los atacantes era la de robar credenciales de cuentas de correo, credenciales que luego pueden usarse para comprometer otras cuentas de servicios online o preparar ataques más dirigidos.

Por último, y debido a la proximidad del inicio de la campaña de la renta, los delincuentes han recuperado una plantilla de correo que ya observamos hace algunos meses y que, haciéndose pasar por una notificación electrónica de la Agencia Tributaria, solicita que accedamos a una web que simula ser legítima para introducir unas credenciales de acceso con la finalidad de robarlas.