Los ataques de troyanos y la suplantación a instituciones sanitarias saturan los correos electrónicos en junio

El laboratorio de ESET ha presentado su análisis mensual sobre las amenazas más habituales en España. En comparación con períodos anteriores, los troyanos bancarios, el spyware y las herramientas de control remoto vuelven a ser las acciones más habituales de los grupos de ciberdelincuencia, siendo el correo electrónico el principal vector de estos ataques.

Las campañas de propagación de troyanos bancarios y, más concretamente, los que proceden de Latinoamérica (como son Casbaneiro, Grandoreiro y Mekotio) continúan siendo protagonistas de la actualidad en materia de incidentes relacionados con la seguridad informática.

Durante el pasado mes de junio se repitieron acciones relacionadas con la suplantación de empresas del sector eléctrico para engañar a los usuarios con falsas facturas. Asimismo, algunos delincuentes volvieron a hacerse pasar por instituciones gubernamentales, como el Ministerio del Interior, para, mediante una notificación fraudulenta del bloqueo del DNI, engañar a los usuarios para que descargasen un archivo malicioso con el que infectar su sistema.

Otros grupos de delincuentes, como los responsables del troyano bancario Ursnif, optaron por estrategias más sencillas, y no dirigidas exclusivamente a nuestro país, con escuetos correos en inglés y proporcionando enlaces desde donde descargar estas amenazas.

En concreto, ESET ha analizado una campaña del troyano bancario Mispadu que, empleando como gancho una sencilla web con contenido pornográfico, trataba de convencer a usuarios de México y España de que descargasen un archivo comprimido que contenía otra muestra de troyano bancario. Lo curioso de este caso es que, a pesar de que la campaña estaba dirigida a países de habla hispana, todos los mensajes se encontraban en portugués. Esto demuestra que incluso con poco esfuerzo, los delincuentes confían en conseguir un éxito aceptable.

Respecto a los troyanos para dispositivos Android, en junio también se realizaron varios ejemplos dirigidos a usuarios españoles. Uno de ellos suplantaba al Ministerio de Sanidad y, desde una web fraudulenta, ofrecía supuesta información acerca de la COVID-19, animando a descargar una aplicación que terminaba instalando el troyano bancario Ginp. Éste también se ha usado para suplantar, otra vez, a la Universidad Carlos III de Madrid.

Otra de las amenazas que ha despuntado desde principios de año son las herramientas de control remoto maliciosas, como Agent Tesla o Netwire, que suelen ser usadas por los delincuentes para robar información de los sistemas que infectan. Estas amenazas también suelen utilizar el correo electrónico como vector de ataque principal y existen numerosos ejemplos dirigidos a usuarios españoles.

Una de las técnicas más usadas consiste en enviar emails desde servidores de correo pertenecientes a empresas de todo tipo. En estos correos se incluyen facturas o justificantes de pago, pero también se han detectado casos procedentes de entidades bancarias. En realidad, los supuestos justificantes son imágenes con un enlace incrustado desde el cual se descarga un archivo comprimido que contiene el ejecutable de esta amenaza. Si se descarga el fichero se infecta el sistema, dejándolo a merced de los atacantes para que puedan robar información de su interés.

En cuanto al uso de entidades bancarias, durante el mes de junio se analizó el caso en concreto de un mailing suplantando la identidad de BBVA, tanto en la supuesta dirección desde donde se enviaba como en la imagen corporativa que acompañaba al mensaje. En los ficheros comprimidos adjuntos a ese correo se encontraba un spyware destinado a robar la información personal de la víctima.

También durante el pasado mes se ha podido observar cómo se ha empleado el nombre de varias empresas de mensajería para propagar este tipo de amenazas. Muy probablemente, los delincuentes aprovechan el auge que está teniendo el comercio electrónico para atraparlos con la guardia baja e infectarlos.

Sin embargo, los casos más llamativos vuelven a ser aquellos en los que los delincuentes suplantan a algún organismo oficial, como la Agencia Tributaria. En junio se revisaron casos de correos que incorporaban los logos de este organismo y del Gobierno de España. Incluso utilizaban una dirección de email como remitente con un dominio que, si bien no es el oficial, podía pasar desapercibido.

Tampoco la Policía Nacional se libra de este tipo de suplantación. Los delincuentes han llegado a falsificar la firma de su director general actual en un correo en el que se avisaba al usuario de ser un posible sospechoso en la investigación de un delito de fraude bancario. Adjunto al correo existía un fichero con la herramienta de control remoto Nanocore, usada, de nuevo, para robar información confidencial.

En el mes de junio, los investigadores de ESET han aprovechado para presentar algunas de las investigaciones acerca de amenazas persistentes avanzadas en las que han estado trabajando durante los últimos meses. En estas pesquisas se ha podido comprobar, por ejemplo, cómo el grupo Gamaredon, activo al menos desde 2013, ha incrementado su actividad en los últimos meses y ha modernizado su arsenal de herramientas. Este grupo está considerado como responsable de numerosos ataques a instituciones de Ucrania en los últimos años.

Vinculado de forma estrecha a Gamaredon, también se presentaron los últimos descubrimientos referentes al grupo InvisiMole. Los investigadores de ESET han relacionado los objetivos atacados por Gamaredon que con posterioridad habían recibido la amenaza de InvisiMole, aunque con herramientas más sofisticadas y sigilosas. Esto desvelaría una posible colaboración entre ambos grupos.

Por último, estas investigaciones también han arrojado luz sobre las campañas de la Operación In(ter)ception, orientada a objetivos del sector aeroespacial y militar en Europa. Uno de los aspectos más interesantes de este grupo era que contactaba con empleados de las empresas atacadas, a través de LinkedIn, donde se les ofrecía interesantes ofertas de trabajo para que aceptasen descargar y ejecutar documentos maliciosos responsables de iniciar la cadena de infección.