España entre los países donde se han detectado más amenazas relacionadas con el robo de información

Según el recientemente publicado informe de amenazas informáticas correspondiente al primer cuatrimestre de 2021, el malware relacionado con el robo de información (también conocido como infostealers) es uno de los que ha tenido una actividad destacable en los últimos meses en países como España. Este tipo de malware engloba varias amenazas como el malware bancario, spyware, backdoors y cryptostealers, destacando especialmente algunas familias de malware sobre el resto.

Agent Tesla y FormBook siguen en cabeza

Dentro de esta categoría de infostealers, las herramientas de acceso remoto maliciosas (RATs por sus siglas en inglés) usadas por los delincuentes para tomar el control de sistemas comprometidos y, principalmente, obtener credenciales almacenadas en las aplicaciones instaladas o registrando las pulsaciones del teclado, son de las amenazas más destacadas de este grupo.

Entre las familias de malware de este tipo más detectadas encontramos tanto a Agent Tesla como a FormBook, dos amenazas que durante los últimos meses han protagonizadas varias campañas dirigidas a usuarios españoles y que suelen utilizar correos electrónicos enviados desde empresas previamente comprometidas por los delincuentes o directamente suplantándolas. En estos correos se suelen adjuntar archivos infectados simulando ser facturas, pedidos, órdenes de entrega o facturas, entre otros.

Para poder seguir infectando nuevas víctimas, amenazas como Agent Tesla evolucionan constantemente, añadiendo nuevas técnicas de evasión que intentan evitar que el malware no sea detectado y conseguir así persistencia en los sistemas comprometidos. Los delincuentes también actualizan la forma en la que esta amenaza roba la información, aumentando el número de aplicaciones de las que trata de robar las credenciales almacenadas.

También es importante destacar que las credenciales robadas por este tipo de malware suelen utilizarse posteriormente en otro tipos de ataque que pueden llegar a comprometer redes corporativas. De hecho, las herramientas de control remoto maliciosas y los backdoors son utilizadas muchas veces para desplegar otro tipo de malware que permite a los delincuentes robar información más sensible o usar el ordenador de la víctima para todo tipo de acciones maliciosas.

La popularidad de amenazas como Agent Tesla puede explicarse debido a que es un malware que se vende a un precio económico, proporciona funcionalidades razonablemente avanzadas y los delincuentes que la utilizan han realizado campañas razonablemente avanzadas, usando direcciones de email de víctimas previamente comprometidas para enviar correos que pueden pasar por legítimos como gancho. Además, no debemos olvidar que hay otras herramientas maliciosas de este tipo que se están ofreciendo a los delincuentes como servicio, como Nanocore, lo que facilita la entrada de nuevos delincuentes que no tienen por qué tener conocimientos avanzados para utilizar este tipo de malware.

Troyanos bancarios latinoamericanos y el retorno de TrickBot

Tal y como vimos en el último trimestre de 2020, los troyanos bancarios con origen en América Latina y dirigidos principalmente a países europeos (con España siendo uno de sus principales objetivos) continúan siendo una de las amenazas relacionadas con el robo de información más extendidas en nuestro país. Con sucesivas campañas protagonizadas principalmente por el troyano bancario Mekotio, los delincuentes han seguido innovando sus amenazas, incorporando nuevas características para tratar de evitar ser detectados y conseguir así su objetivo. Además, otros países de nuestro entorno como Bélgica, Francia, Italia o Portugal también han visto como se ha incrementado la detección de este tipo de amenazas.

Otro tipo de malware que hemos visto actuar durante los primeros meses de 2021 ha sido el relacionado con el robo de criptomonedas y, más concretamente, aquel destinado a modificar las direcciones de las billeteras cuando sus víctimas las copian en el cortapapeles. De esta forma sencilla pero eficaz y gracias al aumento del valor de las criptomonedas experimentado desde finales de 2020, los delincuentes han conseguido hacerse con una cantidad de dinero nada despreciable, también en España, donde se han observado algunos picos destacables en la detección de amenazas como MSIL/ClipBanker.

Por su parte, Trickbot, que sufrió un importante golpe a su infraestructura el pasado mes de octubre de 2020, parece haberse recuperado totalmente. En enero se empezaron a observar nuevas campañas de phishing dirigidas a sectores específicos mientras que en febrero se detectó que esta amenaza ahora contaba con un nuevo módulo especializado en el reconocimiento de redes. Esa nueva funcionalidad parece estar detrás de varios casos en los que los delincuentes habrían usado Trickbot como amenaza para comprometer redes corporativas, robar información confidencial y, posteriormente, cifrarla con un ransomware.

Aun con este resurgimiento, Trickbot no ha podido desbancar a Qbot, quien ha tomado el relevo de Emotet tras su disrupción en una operación global el pasado mes de enero. Qbot también ha demostrado ser muy adaptable, y actualmente podemos ver que se propaga por medios tales como campañas de spam con ficheros ofimáticos adjuntos que utilizan macros maliciosas. Los delincuentes detrás de su desarrollo también parecen haber mejorado sustancialmente su configuración interna para hacerlo más eficaz y dificultar su detección.

Conclusión

Con España en segunda posición (según la telemetría de ESET) con respecto al número de detecciones de amenazas relacionadas con el robo de información (solo por detrás de Turquía y por delante de Japón), resulta indispensable que adoptemos las medidas necesarias para prevenir este tipo de ataques, incorporando medidas de detección eficaces a la vez que concienciamos a los usuarios que puedan ser objetivos de los delincuentes para que aprendan a reconocer estas amenazas.

Josep Albors

No alimentes al troll: consejos para evitar problemas online