EMPRENDER, INNOVAR, TRIUNFAR
sábado, 19 de septiembre de 2020
Formación
Los troyanos bancarios latinoamericanos siguen a la caza de víctimas españolas
Mediante el envío de mails suplantando marcas como MásMóvil, Vodafone, Mercadona, la Agencia Tributaria o el Ministerio de Trabajo, los grupos de delincuentes Grandoreiro y Mekotio extienden sus ataques en nuestro país
07/09/2020

En un mes de agosto atípico, marcado por la pandemia causada por la COVID-19, los delincuentes no han dado ni un respiro. Las campañas de propagación de amenazas han continuado con prácticamente las mismas tendencias que venimos arrastrando desde hace meses: los troyanos bancarios con origen en Latinoamérica se han seguido cebando en nuestro país a la par que otras estafas, por lo que el robo de información ha seguido produciéndose.

Los troyanos bancarios siguen siendo la amenaza principal

Que desde el laboratorio de ESET llevemos varios meses destacando la amenaza de troyanos bancarios en España no hace sino confirmar lo que ha sido una tendencia al alza a lo largo de todo el año. Agosto ha estado protagonizado casi en su totalidad por dos familias de este tipo de malware con el mismo origen y que hace tiempo que incluyeron a los usuarios españoles entre sus víctimas favoritas.

La primera mitad del mes estuvo dominada por los ataques del troyano Grandoreiro en unas campañas que utilizaron el correo electrónico como principal vector de ataque. Los delincuentes han estado suplantando la identidad de varias empresas y organismos oficiales como MásMóvil, Vodafone, Mercadona, la Agencia Tributaria o el Ministerio de Trabajo y Economía Social. Mediante el uso de plantillas de correos prácticamente idénticas, el troyano bancario Mekotio cobró más protagonismo durante la segunda mitad del mes. Las similitudes encontradas en el análisis de las tácticas, técnicas y procedimientos de estas dos amenazas (a pesar de tener diferencias en sus respectivas cadenas de infección) nos indican que hay una estrecha colaboración entre ambos grupos y que, a corto plazo, no se prevé que cesen las campañas de este tipo.

Estafas que reutilizan viejas técnicas

Durante las últimas semanas también hemos observado cómo estafas ya conocidas han vuelto a reaparecer. Una de ellas es la del email que nos regala una tarjeta/cupón con una interesante cantidad para gastar en una cadena de supermercados (Mercadona en este caso). A cambio, solo se pide rellenar una sencilla encuesta e introducir nuestros datos personales, incluyendo los de nuestra tarjeta de crédito. Obviamente, dicho cupón no existe y lo más probable es que terminemos suscritos a algún servicio que nos cargará una importante cantidad cada mes.

También durante el mes de agosto hemos visto cómo otra estafa clásica -la del falso soporte técnico de Microsoft- ha seguido vigente, con bastantes usuarios que han denunciado llamadas de personas que se hacían pasar por empleados de esta empresa o con la ventana de su navegador secuestrada por una falsa alerta que les alentaba a llamar a un falso número de soporte.

Amazon es otra de las empresas favoritas de los estafadores para suplantar su identidad y en agosto vimos cómo el nombre de su servicio de vídeo bajo demanda Prime Video era utilizado en una campaña pensada para robar datos personales, incluyendo aquellos relacionados con la tarjeta de crédito.

El phishing tampoco faltó a su cita este mes de agosto y, además de las típicas campañas suplantando la identidad de entidades bancarias, también se han observado otras más ingeniosas. Es el caso del correo electrónico enviado haciéndose pasar por la empresa Acens y que alertaba de la caducidad de un dominio de Internet, proporcionando una web fraudulenta donde la víctima introducía los datos de su tarjeta de crédito, que eran almacenados por los delincuentes para su uso posterior.

Robo de información y amenazas en dispositivos móviles

Las amenazas encargadas de robar información almacenada en los sistemas de sus víctimas también han encontrado su hueco en agosto. Entre este tipo de amenazas encontramos las herramientas de acceso remoto o RATs, como Agent Tesla, que el mes pasado volvió a protagonizar una campaña mediante el envío de correos electrónicos con una supuesta factura como cebo para que los usuarios descargasen e instalasen el malware en sus sistemas.

Otra técnica menos elaborada fue la que vimos a mediados de mes con un email que se hacía pasar por un supuesto servicio de soporte del correo electrónico. En ese mensaje se indicaba que había emails pendientes de leer y que era necesario acceder a una web para poder abrirlos. En esta web se solicitaban las credenciales de acceso al correo electrónico, credenciales que, de proporcionarlas, permitirían a los delincuentes acceder a los mensajes de la víctima.

En lo que respecta a amenazas dirigidas a dispositivos móviles Android, durante las últimas semanas hemos visto intensificarse las campañas que intentan que los usuarios se descarguen una aplicación maliciosa desde un sitio web que se hace pasar por una página oficial para la descarga de Adobe Flash Player. Resulta cuanto menos curioso que los delincuentes utilicen esta temática cuando Flash Player está a punto de desaparecer, pero aun así parece que siguen siendo bastantes los usuarios que siguen cayendo en esta trampa.

Y como no podía ser de otra forma, el éxito del videojuego Fall Guys en Windows PC y PlayStation 4 ha provocado que aparecieran los primeros vídeos y enlaces indicando que también se podía descargar en dispositivos móviles, a pesar de que esta versión aún está en desarrollo. Obviamente, estos enlaces solo buscan que los usuarios descarguen aplicaciones que se aprovechan de la popularidad del juego y que principalmente muestran publicidad u obligan al usuario a rellenar encuestas.