El troyano Grandoreiro y el phishing personalizado cobran relevancia
- Endpoint
En el último mes se ha observado una nueva campaña de propagación del troyano bancario dirigida a usuarios españoles suplantando a Vodafone. Junto a ella, han proliferado las campañas que propagan malware especializado en robar credenciales almacenadas en aplicaciones.
A pesar de haberse observado un descenso en el número de amenazas detectadas durante el segundo cuatrimestre de 2022, tanto a nivel mundial como en España, las campañas de phishing siguen produciéndose de forma constante. Buen ejemplo de ello son amenazas como Agent Tesla y Formbook, que llevan años siendo detectadas y dirigiendo sus ataques a empresas españolas, principalmente mediante el envío de correos electrónicos que suplantan a otras empresas.
Así, investigadores de ESET han observado como han aumentado los correos suplantando a agencias de transporte y logística, y octubre no ha sido una excepción. Durante las últimas semanas han proliferado los correos suplantando empresas como DHL, Fedex o GLS, todos ellos con la finalidad de que el usuario descargase y ejecutase un archivo adjunto para infectar el sistema. Además de estas plantillas, hay otras que siguen usándose de forma frecuente y que adjuntan falsos presupuestos, incluidas campañas que invitaban a los usuarios a revisar supuestas comunicaciones enviadas por fax.
Por otra parte, entre las muchas campañas de phishing que se detectan destaca una haciéndose pasar por el departamento de recursos humanos de una empresa, con webs especialmente preparadas para ciertas empresas de renombre como Mercadona o Amazon.
También se ha visto como las plataformas de streaming siguen siendo uno de los ganchos principales usados por los delincuentes para atraer a las víctimas. Por ejemplo, una campaña de correos suplantaba a HBO, prometiendo suscripciones anuales muy baratas pero que solo quería recopilar datos de tarjetas de crédito para suscribir a los usuarios a servicios premium.
Asimismo, y ante la proximidad del Mundial de fútbol de Catar 2022, ya se han empezado a observar engaños y estafas para aprovechar el tirón de este acontecimiento deportivo, en forma de correos de phishing anunciando que hemos sido ganadores de alguna entrada o premios económicos, además de sitios web falsos y estafas con la compra de entradas.
Grandoreiro vuelve con fuerza
Tras varios meses de nula o baja actividad, el troyano bancario Grandoreiro volvió con fuerza el pasado mes de octubre. Este troyano, con origen en Latinoamérica, ha estado especialmente activo en España y otros países fuera de su región de origen desde principios de 2020, no teniendo ningún reparo en suplantar ministerios y organismos oficiales para conseguir sus objetivos.
Una de las plantillas de correo más usadas por los delincuentes para propagar estas amenazas es aquella que adjunta o enlaza a la descarga de factura. Estas pueden ser de todo tipo, como ejemplo facturas telefónicas suplantando a empresas como Vodafone, aunque también pueden ser facturas genéricas sin hacerse pasar por ninguna empresa u organismo oficial. Sin embargo, en este regreso de Grandoreiro han cambiado y reutilizado algunas de las tácticas vistas anteriormente. Se ha llegado a detectar indicios de que estarían preparando el envío masivo de correos redactados en lenguas cooficiales en España, como es el caso del catalán.
