Facebook Linkedin Twitter Instagram Youtube Telegram

Troyanos y botnets protagonizan el escenario del cibercrimen en octubre

Los troyanos bancarios latinoamericanos dan el salto a Europa después de pasar por España

El pasado mes de octubre ha vuelto a estar marcado prácticamente por las mismas amenazas que venimos analizando desde hace meses en España, con los troyanos bancarios como mayor vector de infección. Esta tendencia continuista demuestra que los delincuentes siguen obteniendo beneficio de sus estrategias delictivas sin realizar demasiados cambios.

El hecho de que llevemos desde prácticamente principios de 2020 analizando campañas de troyanos bancarios provenientes de América Latina con objetivos en España demuestra que los delincuentes están consiguiendo importantes beneficios con estas amenazas. Durante los últimos meses han sido varias las familias de estos troyanos que se han propagado en nuestro país, destacando Mekotio y Grandoreiro, cuyas variantes no han dejado de propagarse semana tras semana utilizando multitud de plantillas.

Entre las plantillas más utilizadas se siguen encontrando supuestas facturas, contratos, burofaxes, avisos de Correos con paquetes pendientes de entrega, multas de tráfico y supuestas comunicaciones de varios ministerios. Sin embargo, también se ha encontrado alguna novedad, como el uso de Facebook y supuestas fotos y vídeos comprometedores como gancho.

En lo que respecta al desarrollo de estas campañas, parece que los delincuentes están empezando a dar el salto a otros países europeos, viendo el éxito obtenido en nuestro país y en Portugal e Italia. De hecho, desde hace varias semanas se observa cómo se están enviando correos parecidos a los ya vistos pero destinados a usuarios de países como Bélgica, Suiza, Países Bajos, Alemania, Francia, Reino Unido y Eslovaquia.

Actividad de las botnets

Octubre ha sido un mes bastante activo para las botnets, concretamente para Emotet. El laboratorio de ESET ha observado numerosas campañas de propagación masiva de correos en forma de spam, incluyendo alguna dirigida a usuarios españoles. Así, y a pesar de tomarse unos días de descanso a principios de octubre, las campañas protagonizadas por esta importante botnet estuvieron bien presentes durante el resto del mes.

Estas campañas siguen utilizando diferentes plantillas de Word que suelen utilizarse durante la primera fase de infección, en la que se trata de engañar al usuario para que habilite la ejecución de macros maliciosas. Entre estas plantillas encontramos las que solicitaban la actualización de la versión de Microsoft Word o las que directamente pedían que se permitiese la ejecución de macros. Además, en una de las campañas dirigidas a España se suplantaba la identidad del BBVA para tratar de resultar más convincente.

La buena noticia fue la operación realizada para tratar de desmantelar la botnet Trickbot, en la cual ESET participó proporcionando información acerca de esta amenaza y de sus centros de mando y control. Esta operación consiguió que la actividad de esta botnet se redujera considerablemente en las semanas posteriores a su desactivación.

Continúan los casos de phishing

Los casos de phishing no han dejado de sucederse durante las últimas semanas, con varios ejemplos de correos que se hacen pasar por empresas de todo tipo, aunque predominan las de envío de paquetería, seguidas de las de comercio online y empresas de hosting.

El vector de ataque también suele ser el correo electrónico, aunque también hemos visto casos donde se utilizan mensajes SMS con enlaces acortados o que suplantan los dominios legítimos.

La intención de los delincuentes es siempre la misma: consiste en hacerle creer al destinatario de estos mensajes que tiene un paquete pendiente de entrega o un servicio que debe ser renovado. Se crea así cierta sensación de urgencia que puede hacer bajar la guardia a más de uno y terminar proporcionando información que puede ser usada en su contra.

El principal objetivo de los delincuentes es el robo de los datos relacionados con las tarjetas de crédito, aunque también pueden centrarse en obtener otro tipo de información, como las credenciales del correo electrónico. En cualquier caso, el robo de este tipo de información puede terminar teniendo graves consecuencias para la víctima.

Parcheo de vulnerabilidades

Uno de los vectores de ataque que más están utilizando los delincuentes durante los últimos meses es el aprovechamiento de diversas vulnerabilidades. Por ese motivo resulta indispensable estar al día de estos agujeros de seguridad y solucionarlos en cuanto sea posible.

En su boletín mensual de amenazas correspondiente al mes de octubre, Microsoft solucionó varias vulnerabilidades críticas, destacando por encima del resto una provocada por el manejo de forma inapropiada por parte de la pila TCP/IP de los paquetes de Anuncio de Enrutador ICMPv6 en sistemas Windows 10 y Windows Server 2019. Un atacante que explotase con éxito esta vulnerabilidad podría ejecutar código en el sistema objetivo.

A pesar de la importancia ya mencionada de actualizar los parches tan pronto como estén disponibles, muchos usuarios no lo hacen. Buena prueba de ello son los más de 100.000 sistemas que en pleno octubre aún eran vulnerables a la explotación de la vulnerabilidad SMBGhost. Desde ESET se recuerda que el aprovechamiento de esta vulnerabilidad podría permitir que actores maliciosos propagasen malware entre los equipos sin necesidad de la interacción del usuario.

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.