InformesSeguridad

Troyanos y spyware sobrecargan el correo electrónico

El correo electrónico se llenó en junio de troyanos, spyware y herramientas de control remoto maliciosas.

El mes de junio ha sido bastante continuista en lo que respecta a las amenazas analizadas en España si lo comparamos con los meses anteriores, según ha podido observar el laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea. Los troyanos bancarios, el spyware y las herramientas de control remoto han sido la tónica predominante durante el mes, con el correo electrónico como principal vector de ataque.

Troyanos bancarios y que suplantan a entidades oficiales

Tal y como viene sucediendo desde principios de año, las campañas de propagación de troyanos bancarios y, más concretamente, los troyanos bancarios provenientes de Latinoamérica (como Casbaneiro, Grandoreiro y Mekotio) han seguido protagonizando la actualidad en materia de incidentes relacionados con la seguridad informática.

Durante el pasado mes vimos cómo varios de estos troyanos bancarios seguían utilizando temáticas ya observadas en meses anteriores: por ejemplo, la suplantación de empresas del sector eléctrico para engañar a los usuarios con falsas facturas. Asimismo, algunos delincuentes volvieron a hacerse pasar por instituciones gubernamentales, como el Ministerio del Interior, para, mediante una notificación fraudulenta del bloqueo del DNI, engañar a los usuarios para que descargasen un archivo malicioso con el que infectar su sistema.

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, optaron por estrategias más sencillas

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, optaron por estrategias más sencillas y no dirigidas exclusivamente a nuestro país, con escuetos correos en inglés y proporcionando enlaces desde donde los que descargar estas amenazas.

A finales de mes también el laboratorio de ESET también analizó una campaña del troyano bancario Mispadu que, utilizando como gancho una sencilla web con contenido pornográfico, trataba de convencer a usuarios de México y España de que descargasen un archivo comprimido que contenía otra muestra de troyano bancario. Lo curioso de este caso es que, a pesar de que la campaña estaba dirigida a países de habla hispana, todos los mensajes se encontraban en portugués, algo que demuestra que incluso con poco esfuerzo, los delincuentes confían en conseguir un éxito aceptable.

En lo que respecta al mundo de los troyanos para dispositivos Android, en junio también vimos varios ejemplos dirigidos a usuarios españoles. Uno de ellos suplantaba al Ministerio de Sanidad y desde una web fraudulenta ofrecía supuesta información acerca de la COVID-19, animando a descargar una aplicación que terminaba instalando el troyano bancario Ginp. Este mismo troyano fue observado pocos días después usando una táctica similar pero suplantando, en esta ocasión, a la Universidad Carlos III de Madrid, tal vez queriendo repetir el más que probable éxito de la campaña anterior.

Herramientas de control remoto maliciosas

Otra de las amenazas que más está dando que hablar son las herramientas de control remoto maliciosas, como Agent Tesla o Netwire, que suelen ser usadas por los delincuentes para robar información de los sistemas que infectan. Estas amenazas también suelen utilizar el correo electrónico como vector de ataque principal y hemos observado numerosos ejemplos dirigidos a usuarios españoles desde antes incluso de que empezase el año.

Una de las técnicas más usadas recientemente consiste en enviar emails desde servidores de correo comprometidos pertenecientes a empresas de todo tipo y haciendo pasar estos correos por facturas o justificantes de pago de cualquier empresa o incluso de entidades bancarias. En realidad, los supuestos justificantes son imágenes con un enlace incrustado desde el cual se descarga un archivo comprimido que contiene el ejecutable de esta amenaza y que se encarga de infectar el sistema para dejarlo a merced de los atacantes y para que roben aquella información que les interese.

Suplantaciones de identidad para robar información

Con respecto al uso de entidades bancarias de renombre, durante el mes pasado también analizamos el caso de un email suplantando la identidad de BBVA, tanto en la supuesta dirección desde donde se enviaba como en la imagen corporativa que acompañaba a ese mensaje. En los ficheros comprimidos adjuntos a ese correo se encontraba un spyware destinado a robar la información personal de la víctima.

También durante junio hemos visto cómo se ha utilizado el nombre de varias empresas de mensajería para propagar este tipo de amenazas. Muy probablemente, los delincuentes quieran aprovechar el auge que está teniendo el comercio electrónico y que muchas de sus posibles víctimas estén esperando algún paquete de una tienda online para pillarlos con la guardia baja e infectarlos. Sin embargo, los casos más llamativos vuelven a ser aquellos en los que los delincuentes suplantan a algún organismo oficial, como la Agencia Tributaria. En junio revisamos casos de correos que incorporaban los logos de este organismo y del Gobierno de España, y que incluso utilizaban una dirección de email como remitente con un dominio que, si bien no es oficial, podía pasar como tal a menos que el usuario investigase un poco.

Tampoco la Policía Nacional se libra de este tipo de suplantación. Los delincuentes han llegado a falsificar la firma de su director general actual en un correo en el que se avisaba al usuario de ser un posible sospechoso en la investigación de un delito de fraude bancario. Acompañando al correo venía un fichero adjunto con la herramienta de control remoto Nanocore, usada, de nuevo, para robar información confidencial.

Investigaciones y APT

Durante junio, los investigadores de ESET aprovecharon para presentar algunas de las investigaciones acerca de amenazas persistentes avanzadas en las que han estado trabajando durante los últimos meses. En esas investigaciones pudimos ver, por ejemplo, cómo el grupo Gamaredon, activo al menos desde 2013, ha incrementado su actividad en los últimos meses y ha modernizado su arsenal de herramientas. Este grupo está considerado como responsable de numerosos ataques a instituciones de Ucrania en los últimos años.

Vinculado de forma estrecha a Gamaredon, también se presentaron este mes los últimos descubrimientos referentes al grupo InvisiMole. Los investigadores de ESET descubrieron que algunos de los objetivos atacados por Gamaredon eran posteriormente objetivo de InvisiMole, siendo sus herramientas eran más sofisticadas y sigilosas. Esto desvelaría una colaboración entre ambos grupos, en la cual InvisiMole se quedaría con aquellos objetivos que considerase de mayor valor tras haberse realizado un ataque inicial por Gamaredon.

Por último, estas investigaciones también arrojaron luz sobre las campañas de la Operación In(ter)ception, orientada a objetivos del sector aeroespacial y militar en Europa. Uno de los aspectos más interesantes de este grupo era cómo se realizaba el compromiso inicial de los objetivos: contactando con empleados de las empresas en cuestión a través de LinkedIn y ofreciéndoles interesantes ofertas de trabajo para que aceptasen descargar y ejecutar documentos maliciosos responsables de iniciar la cadena de infección.

Computing 794