El pasado mes de abril ha estado protagonizado por campañas intensas de varias familias de malware asociadas a los troyanos bancarios con origen en Latinoamérica, demostrando que estos grupos aun no han dicho su última palabra y que continúan evolucionando para conseguir nuevas víctimas. Así mismo, otros delincuentes han seguido aprovechando la campaña de la Renta para propagar sus amenazas y también hemos observado el regreso de códigos malicioso clásicos.
Vuelven a intensificarse las campañas de troyanos bancarios latinoamericanos
Algunas de las familias de malware que nos acompañan prácticamente cada mes desde hace algunos años en estos resúmenes han vuelto a hacer aparición durante las últimas semanas, aunque con algunas novedades. El troyano bancario Grandoreiro, por ejemplo, ha utilizado varias plantillas de correos para tratar de conseguir nuevas víctimas, algunas de ellas ya vistas anteriormente como la entrega pendiente de un paquete o una notificación judicial pero también han usado otras nuevas alertando de un intento de ejecución hipotecaria.
Pero si hay un tema que a los delincuentes les gusta reutilizar una y otra vez, este es el de las facturas. Han sido muchos los correos con este asunto usando facturas genéricas, relacionadas con empresas eléctricas, comunicados de fallecimiento e incluso usando un tono pasivo-agresivo para llamar la atención de los usuarios que reciben este tipo de correos.
Un punto importante relacionado con estas campañas es que estamos observando como otras familias de malware que, hasta el momento no habían dado el salto a este lado del charco, están empezando a aparecer cada vez con más frecuencia. Este es el caso del troyano bancario Ousaban e incluso de algunas muestras ampliamente basadas en el troyano bancario Grandoreiro pero que han evolucionado hasta tener su propia identidad.
Qbot, SmokeLoader y otros troyanos
Los troyanos bancarios con origen en Latinoamérica no han sido los únicos protagonistas del mes pasado ya que durante las últimas semanas se han detectado varias campañas protagonizadas por otras familias de malware. Algunas de las más destacadas tenían como protagonista a todo un veterano como Qbot, que hace años era un troyano bancario más pero luego se reconvirtió a amenaza usada por los delincuentes para conseguir el acceso inicial a las redes corporativas y desplegar allí otro tipo de malware y herramientas que les permitieran alcanzar sus objetivos.
De Qbot hemos analizado algunas campañas durante el mes de abril, campañas que volvían a usar el tema de las facturas como gancho para conseguir nuevas víctimas pero también otros asuntos como una supuesta letra de cancelación. Su cadena de infección suele incluir ficheros PDF que contienen enlaces a archivos preparados para ejecutar código ofuscado que inicia la descarga de malware en el sistema comprometido.
Además, durante el mes pasado, el sistema de inteligencia de amenazas de ESET detectó un pico bastante elevado en la detección del malware SmokeLoader, una amenaza veterana que actúa como descargador de otros códigos maliciosos. Este malware ha protagonizado numerosas campañas durante la última década y el notable incremento reciente en las detecciones demuestra que sigue a la orden del día evolucionando para seguir siendo efectivo.
La campaña de la Renta continúa siendo usada como gancho por los delincuentes
La Agencia Tributaria suele ser uno de los organismos oficiales más suplantados a lo largo del año y, durante la campaña de la Renta, los ciberdelincuentes intensifican sus campañas. Así lo hemos podido comprobar de nuevo durante abril al analizar correos que se hacían pasar por la Agencia Tributaria y que, en realidad pretendían que el usuario accediese a una web fraudulenta en la que robarle sus credenciales de acceso al email.
También se han observado campañas que utilizan mensajes SMS en lugar de correos electrónicos, mensajes que suplantando la identidad de este organismo oficial, adjuntan un enlace a una web donde, usando logotipos oficiales y un diseño bastante similar a la web legítima, se solicitan los datos correspondientes a la tarjeta de crédito para efectuar un supuesto reembolso pero que, en realidad, serán usados por los delincuentes para realizar compras a cargo de la víctima o sacar dinero de su cuenta.
Investigaciones de ESET publicadas durante el mes de Abril
Como cada mes, los investigadores de ESET ubicados en laboratorios de varias regiones publican los resultados de sus investigaciones recientes. En abril, nuestros compañeros de Latinomérica han publicado un detallado artículo que analiza las campañas recientes llevadas a cabo por el malware Agent Tesla (que conocemos muy bien por su actividad en España durante los últimos años) en México y otros países de la región.
También se publicó un interesante artículo donde investigadores de ESET conseguían establecer una relación entre el grupo APT Lazarus, vinculado al gobierno de Corea del Norte, y el reciente ataque a la cadena de suministro de 3CX. Los indicadores de compromiso y muestras usadas en este ataque presentarían similitudes con otras campañas de este grupo como la conocida como Operación DreamJob.
Por último también se descubrió una campaña que los investigadores de ESET han atribuido al grupo APT conocido como Evasive Panda y que estaba dirigida a organizaciones no gubernamentales internacionales que operan en China. Los atacantes habrían usado actualizaciones maliciosas para software legítimo que se habrían descargado desde IPs y URLs también legítimas.