El correo electrónico se confirma como principal vector de ataque en junio

Recomendados:  Decálogo de ciberseguridad para empresas Leer  Movilidad e IoT, la nueva frontera de la ciberseguridad Webinar ondemand

Los investigadores de Eset han dicho de las amenazas de seguridad del mes de junio que han sido “bastante continuistas”, con el correo electrónico consolidado como principal vector de ataque.

Según su informe del mes, tal y como viene sucediendo desde principios de año, las campañas de propagación de troyanos bancarios y, más concretamente, los troyanos bancarios provenientes de Latinoamérica (como Casbaneiro, Grandoreiro y Mekotio) han seguido provocando incidentes de ciberseguridad.

“Durante el pasado mes vimos cómo varios de estos troyanos bancarios seguían utilizando temáticas ya observadas en meses anteriores: por ejemplo, la suplantación de empresas del sector eléctrico para engañar a los usuarios con falsas facturas”, explica el informe. Además, algunos delincuentes volvieron a hacerse pasar por instituciones gubernamentales, como el Ministerio del Interior para, mediante una notificación fraudulenta del bloqueo del DNI, engañar a los usuarios para que descargasen un archivo malicioso con el que infectar su sistema.

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, optaron por estrategias más sencillas y no dirigidas exclusivamente a nuestro país, con escuetos correos en inglés y proporcionando enlaces desde donde los que descargar estas amenazas.

A finales de mes, el laboratorio de Eset también analizó una campaña del troyano bancario Mispadu que, utilizando como gancho una sencilla web con contenido pornográfico, trataba de convencer a usuarios de México y España de que descargasen un archivo comprimido que contenía otra muestra de troyano bancario. Lo curioso de este caso es que, a pesar de que la campaña estaba dirigida a países de habla hispana, todos los mensajes se encontraban en portugués, algo que demuestra que incluso con poco esfuerzo, los delincuentes confían en conseguir un éxito aceptable.

En lo que respecta al mundo de los troyanos para dispositivos Android, en junio han destacado varias campañas que tenían como objetivo usuarios españoles. Uno de ellos suplantaba al Ministerio de Sanidad y desde una web fraudulenta ofrecía supuesta información sobre el coronavirus, animando a descargar una aplicación que terminaba instalando el troyano bancario Ginp. Este mismo troyano fue observado pocos días después usando una táctica similar pero suplantando, en esta ocasión, a la Universidad Carlos III de Madrid, tal vez queriendo repetir el más que probable éxito de la campaña anterior.

Otra de las amenazas que más está dando que hablar son las herramientas de control remoto maliciosas, como Agent Tesla o Netwire, que suelen ser usadas por los delincuentes para robar información de los sistemas que infectan. Estas amenazas también suelen utilizar el correo electrónico como vector de ataque principal y hemos observado numerosos ejemplos dirigidos a usuarios españoles desde antes incluso de que empezase el año.

Una de las técnicas más usadas recientemente consiste en enviar emails desde servidores de correo comprometidos pertenecientes a empresas de todo tipo y haciendo pasar estos correos por facturas o justificantes de pago de cualquier empresa o incluso de entidades bancarias. En realidad, los supuestos justificantes son imágenes con un enlace incrustado desde el cual se descarga un archivo comprimido que contiene el ejecutable de esta amenaza y que se encarga de infectar el sistema para dejarlo a merced de los atacantes y para que roben aquella información que les interese.

En su informe también menciona varias campañas que los ciberdelincuentes han puesto en marcha, tratando de suplantar la identidad de varias entidades. Ha sido el caso de BBVA, la Agencia Tributaria o la propia Policía Nacional.