El robo de credenciales y los troyanos bancarios acechan a los usuarios
El mes de febrero que hemos dejado atrás ha estado protagonizado en España por las amenazas relacionadas con el robo de credenciales, especialmente de entidades bancarias.
Las campañas de este tipo dirigidas a dispositivos móviles y de escritorio han sido una constante durante las últimas semanas, y todo apunta a que seguirán produciéndose durante las que están por venir, según informa el laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea.
Si en enero vimos cómo se popularizaron los troyanos bancarios dirigidos a teléfonos móviles Android haciéndose pasar por empresas de logística, durante febrero hemos observado que este tipo de campañas se ha vuelto a propagar con gran intensidad en nuestro país. El único cambio aparente ha sido la utilización de otras empresas, como FedEX, para tratar de engañar a los usuarios animándoles a que se descargasen una app maliciosa mediante un enlace proporcionado por SMS.
Estas campañas se han ido produciendo durante todo el mes y, lamentablemente, parece que han tenido un éxito notable a pesar de las continuas alertas lanzadas durante las últimas semanas. Además, pese que estas amenazas están dirigidas a usuarios de Android, en caso de consultar el enlace desde un iPhone los delincuentes mostraban una de las conocidas webs de falsos premios que suplantan a empresas como Amazon y que intentan engañar a los usuarios para que introduzcan los datos de sus tarjetas de crédito.
Por si fuera poco, los troyanos bancarios con origen en Latinoamérica que llevan un año propagándose también entre usuarios españoles volvieron a hacer acto de presencia durante el mes pasado. Así pues, muestras de las familias Grandoreiro, Cabaneiro y Mekotio se estuvieron difundiendo usando correos que se hacían pasar por facturas, pero también entre usuarios de ciertas webs pornográficas a la hora de descargar ficheros de vídeo.
Numerosos casos de phishing
Siguiendo con las amenazas relacionadas con el ámbito bancario, el phishing tradicional, el que suplanta a una entidad bancaria con la finalidad de dirigir a sus víctimas a una web fraudulenta en la que introducir los datos de acceso a la banca online o a la información sobre las tarjetas de crédito, también estuvo presente. De esta forma, vimos varios ejemplos de emails que se hicieron pasar por entidades conocidas como Bankia, BBVA o CaixaBank, algunos más convincentes que otros, y que redirigían a webs fraudulentas.
Pero las entidades bancarias no fueron el único gancho utilizado por los delincuentes en sus correos de phishing. En nuestro país pudimos observar cómo se hacían pasar también por la propia Google para robar credenciales de acceso al email simulando un envío de ficheros a través de Google Drive. Asimismo, mensajes SMS suplantando a Seur e informando de un supuesto envío de un paquete también fueron propagados para dirigir a las víctimas a una web fraudulenta.
Como apunte curioso, el pasado mes de febrero también se descubrió una campaña destinada a robar credenciales de Office 365 y que incorporaba una curiosa técnica para tratar de pasar desapercibida. Los delincuentes habían ocultado los enlaces donde se alojaban las webs fraudulentas incluidos en un fichero HTML y estos enlaces estaban ofuscados utilizando nada menos que código morse.
Robo de credenciales almacenadas en aplicaciones
Otra tendencia bastante activa durante febrero, y especialmente durante la última semana del mes que acabamos de dejar atrás, ha sido la protagonizada por malware como Agent Tesla o FormBook, especializados en el robo de credenciales almacenadas en aplicaciones como navegadores, clientes de correo, clientes FTP y VPNs, entre otras.
Su forma de actuar suele basarse en el envío de correos con facturas falsas dentro de archivos comprimidos que actúan como cebo para que los usuarios ejecuten el fichero que contienen en su interior y comience la cadena de infección. Sin embargo, en las muestras recibidas durante la última semana de febrero observamos cómo la mayoría de estos correos se enviaban desde remitentes pertenecientes a empresas españolas legítimas.
Esto era un claro indicio de que los delincuentes estaban aprovechando las cuentas de correo comprometidas para reenviar sus amenazas a los contactos que se encontraban en las libretas de direcciones de sus víctimas. Además, también renombraban los ficheros maliciosos adjuntos para hacer creer a sus destinatarios que se trataba de facturas o pedidos legítimos, llegando incluso a incluir conversaciones anteriores y otros documentos relacionados con el asunto.
Estafas románticas
Febrero también es el mes en el que se celebra el día de los enamorados y eso es algo que no pasa desapercibido para los delincuentes. De hecho, tras repasar la Comisión Federal de Comercio de los EEUU los incidentes relacionados con estafas románticas producidos durante el año pasado, pudimos comprobar cómo durante 2020 se produjo un importante aumento de las mismas. En nuestro país el aumento también ha sido significativo, probablemente empujado por los sucesivos confinamientos y el aumento en el uso de aplicaciones online para tratar de conseguir citas.
Los delincuentes, por su parte, no pierden el tiempo, y durante el pasado mes volvimos a ver campañas de sextorsión que trataban de infundir miedo entre aquellos usuarios que recibieran un correo indicando que habían sido grabados viendo contenido pornográfico y amenazándolos con difundir las imágenes si no se les pagaba cierta cantidad. Hay que recordar que en este tipo de extorsión los delincuentes no cuentan con dicho material, y solo confían en el miedo de quien recibe ese tipo de mensajes a ser expuesto para conseguir beneficios.
