Los troyanos bancarios siguen atacando a los usuarios españoles

  • Endpoint

seguridad ataque malware

Grandoreiro y Mekotio han protagonizado numerosas campañas en noviembre. También se han observado troyanos bancarios para dispositivos Android, amenazas orientadas al robo de datos personales, el resurgimiento de botnets como Qbot y Zbot, y un repunte de estafas y correos de sextorsión.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer

Noviembre ha sido un mes continuista en lo que respecta a las amenazas más detectadas en nuestro país. El laboratorio de ESET no ha observado novedades especialmente destacables en España, pero sí muchos ejemplos de ataques dirigidos tanto a usuarios como a empresas de todos los tamaños y administraciones. En concreto, los troyanos bancarios con origen en América Latina siguen teniendo a los usuarios españoles entre sus objetivos favoritos. Concretamente, se hayan detectado numerosas campañas protagonizadas principalmente por las familias Grandoreiro y Mekotio.

La mayoría de las muestras detectadas durante el mes pasado seguían utilizando el correo electrónico como vector de ataque principal, usando plantillas ya vistas con anterioridad. Entre ellas, una campaña protagonizada por el troyano bancario Grandoreiro que utilizaba el servicio de mensajería Facebook Messenger para propagarse. Mediante un breve mensaje simulando incluir un vídeo, los delincuentes trataban de engañar a sus víctimas para que introdujesen sus credenciales de Facebook en una web fraudulenta y, seguidamente, proceder a descargar una muestra del malware Grandoreiro.

También se han observado casos de troyanos bancarios orientados a dispositivos Android, entre los que destaca una campaña que se hacía pasar por ayudas del gobierno español mediante una web a la que se accedía a través de un enlace que se estaba propagando por grupos de WhatsApp. En esta web se solicitaba una serie de datos personales para, seguidamente, descargar una aplicación maliciosa en el dispositivo encargada de robar las credenciales de acceso a la banca online.

Otras amenazas recurrentes durante los últimos meses son aquellas orientadas al robo de información personal de sus víctimas, especialmente las que tratan de robar credenciales almacenadas en aplicaciones como clientes de correo o FTP, navegadores, VPNs o similares. Durante el mes de noviembre se utilizaban correos con supuestas facturas como gancho para conseguir que los usuarios que los recibiesen ejecutasen el malware encargado de robar esta información almacenada en las aplicaciones instaladas, una táctica bastante habitual en este tipo de amenazas.

Pasando al phishing más clásico, durante el mes pasado los delincuentes habían preparado varias campañas para hacerse pasar por entidades bancarias, como BBVA, y robar las credenciales de acceso a la banca online. Asimismo, se detectó una campaña que suplantaba la identidad de WeTransfer que intentaba robar credenciales de email, así como otra campaña orientada específicamente a usuarios españoles y que se hacía pasar por Loterías y Apuestas del Estado.

Los incidentes protagonizados por el ransomware tampoco han dejado de producirse durante las últimas semanas. Tras la retirada del grupo Maze ya se habla de sus posibles sucesores, como puede ser, por ejemplo, el ransomware Egregor, que ha protagonizado sonados incidentes recientemente, entre los que destaca el que ha afectado a un consorcio empresarial multinacional basado en Chile y que opera en varios países de Sudamérica.

Entre las víctimas recientes de estas campañas se encuentra la compañía japonesa desarrolladora de videojuegos Capcom, quien reveló que fue víctima de un ataque que afectó a algunos de sus sistemas, en el que se filtró información importante acerca de los planes de lanzamiento de la compañía para los próximos meses.

Una de las botnets más relevantes de los últimos años, Emotet, ha disminuido notablemente su actividad durante el pasado mes de noviembre. También ha hecho lo mismo Trickbot. Este hueco estaría siendo aprovechado por otras botnets como Qbot (también conocida como Qakbot), que ha vuelto a protagonizar sus propias campañas de propagación en solitario o asociándose con otras amenazas como los ransomware Prolock y Egregor. Otra botnet que también ha estado recientemente asociada a Emotet y que ha vuelto a realizar campañas por su cuenta es Zbot, cuya actividad ha sido detectada en varios países, entre los que se incluye España. El vector de ataque de esta amenaza suele ser un correo con un documento de Office adjunto que incluye macros maliciosas.

Las estafas también han tenido su ración de protagonismo y, en un mes marcado por el Black Friday y el Cyber Monday, los delincuentes no han querido perder su oportunidad con webs fraudulentas suplantando a las legítimas y todo tipo de correos anunciando ofertas, con la finalidad de robar los datos de las tarjetas de crédito de las víctima. Por ejemplo, un correo aseguraba regalar una PlayStation 5 a todos aquellos usuarios que respondiesen a una sencilla encuesta. El correo decía provenir de la cadena MediaMarkt pero, en realidad, se pretendía era engañar a los usuarios para que introdujesen los datos de sus tarjetas de crédito y cobrarles por una suscripción a un servicio no solicitado.

Durante el mes pasado también se observaron algunos casos de correos de sextorsión dirigidos a usuarios de habla hispana. En esos correos se nos alertaba de la existencia de un vídeo con imágenes comprometedoras viendo contenido pornográfico y se indicaba que se debía pagar un chantaje si no queríamos ver cómo se difundía este contenido entre nuestros contactos. Como siempre sucede con estos casos, el video con el que se amenaza a los receptores de estos correos no existe y tan solo se quiere aprovechar el miedo que provocan estas situaciones para tratar de obtener dinero de forma sencilla.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos