Mayo ha sido un mes en el que hemos vuelto a comprobar como los intentos de robar información personal y corporativa por parte de los delincuentes siguen en alza. Usando principalmente el correo electrónico como vector de ataque, las campañas se han ido produciendo prácticamente a diario y con un objetivo muy claro como es el robo de credenciales.
Plaga de RATs
Desde hace varios meses venimos observando como las herramientas de acceso remoto centradas en el robo de credenciales están intensificando su actividad, especialmente en lo que se refiere a ataques dirigidos a pequeñas y medianas empresas. Mayo no ha sido la excepción e, incluso por el volumen de casos analizados podríamos decir que ha sido uno de los meses más intensos en este aspecto.
Durante las ultimas semanas hemos analizado múltiples correos electrónicos con asuntos de todo tipo que los delincuentes han utilizado para propagar estas herramientas maliciosas. Hemos observado plantillas típicas como las que simulan adjuntar facturas y pedidos, pagos a través de entidades bancarias que operan en España y suplantaciones de empresas de transporte.
No obstante, durante el mes pasado también hemos visto otros correos que han suplantado la identidad de organismos oficiales como la Agencia Tributaria o la Universidad de Valencia que también adjuntaban amenazas ya vistas con anterioridad y cuya objetivo es el robo de credenciales almacenadas en aplicaciones de uso cotidiano. Además, los delincuentes han tratado de volver a aprovecharse de una vulnerabilidad en Office que data de 2017 para infectar los sistemas de sus víctimas, lo que demuestra que aun queda trabajo por hacer en lo que a la actualización de sistemas y aplicaciones se refiere.
Incremento de troyanos bancarios
Durante los últimos meses hemos visto como los troyanos bancarios dirigidos a sistemas Windows y con origen en Latinoamérica han vuelto a incrementar su actividad en España. El último mes ha seguid esta tendencia, habiendo podido observar numerosos correos maliciosos que son usados para engañar a los usuarios y conseguir que pulsen sobre los enlaces incluidos en el cuerpo de los mensajes.
En lo que respecta a los mensajes propiamente dichos, hemos visto como se han estado reutilizando plantillas vistas con anterioridad. Así pues, se han observado supuestas facturas de la luz que suplantan a reconocidas empresas del sector eléctrico, falsas multas de tráfico o, directamente, plantillas genéricas que alertan de una factura electrónica pendiente de pago.
Este incremento en la actividad en España de los grupos delictivos detrás de los troyanos bancarios Grandoreiro y Mekotio y la reutilización de plantillas ya vistas anteriormente demuestran que estos grupos aun no han dicho la última palabra y esperamos que sigan dando guerra, al menos a corto plazo.
El phishing continúa causando problemas
De la misma forma que la suplantación de identidad les funciona muy bien a los delincuentes para propagar sus amenazas, el robo de credenciales también puede realizarse preparando webs fraudulentas que simulen ser las legítimas. Esto es algo que venimos observando desde hace años y, aunque los delincuentes han ido perfeccionando su técnica, la mayoría de casos de phishing puede seguir siendo detectados por los usuarios si se fijan en algunos aspectos clave.
Entre los casos de phishing más clásicos encontramos aquellos que suplantan a entidades bancarias como son el caso del Sabadell o del Santander. Este tipo de phishing se ha ido perfeccionando con el tiempo y ya no es extraño ver que aparece un remitente aparentemente legítimo a primera vista, mensajes bien redactados o un certificado que otorga el candado de seguridad a la web fraudulenta. Además, ya hace tiempo que los delincuentes solicitan la firma electrónica y los códigos de seguridad que se suelen enviar al teléfono de las víctimas para tratar de saltarse las medidas impuestas por las entidades para evitar estos robos.
El robo de credenciales corporativas usando el phishing también está a la orden del día, especialmente aquellos que tratan de robar el acceso a las cuentas de correo de los usuarios para usarlas en ataques posteriores. Basta que los delincuentes utilicen un asunto lo suficientemente atractivo como una alerta de mensajes importantes pendientes de lectura o un problema con la cuota de espacio concedida a ese buzón de correo para que los usuarios caigan en la trampa. Tampoco debemos olvidar que los usuarios poseedores de criptomonedas hace tiempo que están en el punto de mira de los delincuentes, también de los que se dedican a preparar campañas de phishing. Así lo hemos podido comprobar tras analizar el mes pasado un correo que iba dirigido a los usuarios de la cartera de criptomonedas Metamask y que no tenía otra intención que la de robar la frase de recuperación de la clave privada secreta. De esta forma, los delincuentes tienen acceso a los fondos almacenados en esa cartera y pueden transferirlos a otras que están bajo su control.