Crecen las campañas de correos maliciosos dirigidas a usuarios españoles

Con buena parte de la población mundial confinada en casa y muchas empresas con sus empleados teletrabajando, el correo electrónico ha sido el principal vector de ataque utilizado por los ciberdelincuentes. Así lo ha detectado el laboratorio de ESET, cuyo barómetro mensual de seguridad, correspondiente a abril, revela que, si bien no ha habido tantas campañas relacionadas con el Covid-19 como en el mes de marzo, los delincuentes han seguido distribuyendo sucesivas oleadas de correos maliciosos con diferentes temáticas, algo que muy probablemente les haya reportado importantes beneficios a un coste bastante bajo.

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Entre las campañas más destacadas encontramos las protagonizadas por la herramienta de control remoto (RAT) Netwire. Mediante el uso de supuestas facturas suplantando a la empresa Correos Express, los delincuentes tratan de que los usuarios se descarguen un fichero malicioso desde un enlace alojado normalmente en algún servicio gratuito como Mediafire. Otra familia de RAT, como Agent Tesla, también ha protagonizado numerosas campañas de propagación usando el correo electrónico y suplantando a empresas de mensajería. De la misma forma, el malware Trickbot ha seguido usando la temática del coronavirus para conseguir nuevas víctimas a las que infectar después de que estas abran los documentos con macros maliciosas que suele adjuntar.

Especialmente preocupante ha sido el incremento de campañas de correos maliciosos dirigidas a usuarios españoles durante el mes de abril. Una de las más destacadas ha estado protagonizada por el troyano bancario Grandoreiro. Durante el pasado mes hemos visto cómo los delincuentes detrás de estas campañas han utilizado supuestas facturas pendientes de pago de empresas como Lucera o Iberdrola como gancho para que los usuarios descarguen y ejecuten el malware. También hemos visto cómo se lanzaban otras campañas de malware muy específicas y que suplantaban, en este caso, a la Agencia Tributaria con motivo de la campaña de la renta; a la Seguridad Social con un mensaje de un supuesto reembolso; o incluso al Ministerio de Trabajo amenazando con una supuesta inspección.

“No es extraño ver que los delincuentes adaptan sus campañas a cada país o región” indica Josep Albors, responsable de investigación y concienciación de ESET España. “Sin embargo, hemos analizado varias campañas dirigidas a España con poco tiempo de diferencia y esto podría indicar que varios grupos criminales tienen a nuestro país en su punto de mira y quieren aprovecharse de la situación actual”.

Siguiendo con los ataques dirigidos especialmente contra usuarios españoles, durante el mes de abril hemos visto numerosos casos de phishing bancario que tenían como objetivo a clientes de banca online ubicados en España, llegando a suplantar a entidades como el Banco Santander, Bankia o Bankinter.

También se produjo una campaña de propagación de malware de criptominería oculto en supuestos archivos que contendrían películas de reciente estreno, y una campaña de sextorsión que se alargó durante varios días.

Por otra parte, los delincuentes pusieron su atención en algunas de las herramientas de teletrabajo que han experimentado un mayor incremento en su uso, tales como Zoom o Microsoft Teams. Supimos de la comercialización de dos exploits para Zoom que se aprovecharían de vulnerabilidades críticas, mientras que Microsoft Teams solucionó otra vulnerabilidad que permitía obtener información confidencial de aquellas empresas que estuviesen usando esta solución con tan solo enviar un archivo GIFmalicioso a un usuario.

Por último, en abril también se publicaron dos graves vulnerabilidades para dispositivos iOS como el iPhone, gracias a las cuales un atacante podría comprometerla seguridad de estos dispositivos con tan solo enviar un email especialmente modificado al buzón de la víctima. Al parecer, estas dos vulnerabilidades habrían sido aprovechadas desde hace años para realizar una serie de ataques dirigidos a objetivos muy concretos.