Troyanos y botnets protagonizan el escenario del cibercrimen en octubre

13 noviembre, 2020
6 Compartido 831 Visualizaciones

Los troyanos bancarios latinoamericanos dan el salto a Europa después de pasar por España

El pasado mes de octubre ha vuelto a estar marcado prácticamente por las mismas amenazas que venimos analizando desde hace meses en España, con los troyanos bancarios como mayor vector de infección. Esta tendencia continuista demuestra que los delincuentes siguen obteniendo beneficio de sus estrategias delictivas sin realizar demasiados cambios.

El hecho de que llevemos desde prácticamente principios de 2020 analizando campañas de troyanos bancarios provenientes de América Latina con objetivos en España demuestra que los delincuentes están consiguiendo importantes beneficios con estas amenazas. Durante los últimos meses han sido varias las familias de estos troyanos que se han propagado en nuestro país, destacando Mekotio y Grandoreiro, cuyas variantes no han dejado de propagarse semana tras semana utilizando multitud de plantillas.

Entre las plantillas más utilizadas se siguen encontrando supuestas facturas, contratos, burofaxes, avisos de Correos con paquetes pendientes de entrega, multas de tráfico y supuestas comunicaciones de varios ministerios. Sin embargo, también se ha encontrado alguna novedad, como el uso de Facebook y supuestas fotos y vídeos comprometedores como gancho.

En lo que respecta al desarrollo de estas campañas, parece que los delincuentes están empezando a dar el salto a otros países europeos, viendo el éxito obtenido en nuestro país y en Portugal e Italia. De hecho, desde hace varias semanas se observa cómo se están enviando correos parecidos a los ya vistos pero destinados a usuarios de países como Bélgica, Suiza, Países Bajos, Alemania, Francia, Reino Unido y Eslovaquia.

Actividad de las botnets

Octubre ha sido un mes bastante activo para las botnets, concretamente para Emotet. El laboratorio de ESET ha observado numerosas campañas de propagación masiva de correos en forma de spam, incluyendo alguna dirigida a usuarios españoles. Así, y a pesar de tomarse unos días de descanso a principios de octubre, las campañas protagonizadas por esta importante botnet estuvieron bien presentes durante el resto del mes.

Estas campañas siguen utilizando diferentes plantillas de Word que suelen utilizarse durante la primera fase de infección, en la que se trata de engañar al usuario para que habilite la ejecución de macros maliciosas. Entre estas plantillas encontramos las que solicitaban la actualización de la versión de Microsoft Word o las que directamente pedían que se permitiese la ejecución de macros. Además, en una de las campañas dirigidas a España se suplantaba la identidad del BBVA para tratar de resultar más convincente.

La buena noticia fue la operación realizada para tratar de desmantelar la botnet Trickbot, en la cual ESET participó proporcionando información acerca de esta amenaza y de sus centros de mando y control. Esta operación consiguió que la actividad de esta botnet se redujera considerablemente en las semanas posteriores a su desactivación.

Continúan los casos de phishing

Los casos de phishing no han dejado de sucederse durante las últimas semanas, con varios ejemplos de correos que se hacen pasar por empresas de todo tipo, aunque predominan las de envío de paquetería, seguidas de las de comercio online y empresas de hosting.

El vector de ataque también suele ser el correo electrónico, aunque también hemos visto casos donde se utilizan mensajes SMS con enlaces acortados o que suplantan los dominios legítimos.

La intención de los delincuentes es siempre la misma: consiste en hacerle creer al destinatario de estos mensajes que tiene un paquete pendiente de entrega o un servicio que debe ser renovado. Se crea así cierta sensación de urgencia que puede hacer bajar la guardia a más de uno y terminar proporcionando información que puede ser usada en su contra.

El principal objetivo de los delincuentes es el robo de los datos relacionados con las tarjetas de crédito, aunque también pueden centrarse en obtener otro tipo de información, como las credenciales del correo electrónico. En cualquier caso, el robo de este tipo de información puede terminar teniendo graves consecuencias para la víctima.

Parcheo de vulnerabilidades

Uno de los vectores de ataque que más están utilizando los delincuentes durante los últimos meses es el aprovechamiento de diversas vulnerabilidades. Por ese motivo resulta indispensable estar al día de estos agujeros de seguridad y solucionarlos en cuanto sea posible.

En su boletín mensual de amenazas correspondiente al mes de octubre, Microsoft solucionó varias vulnerabilidades críticas, destacando por encima del resto una provocada por el manejo de forma inapropiada por parte de la pila TCP/IP de los paquetes de Anuncio de Enrutador ICMPv6 en sistemas Windows 10 y Windows Server 2019. Un atacante que explotase con éxito esta vulnerabilidad podría ejecutar código en el sistema objetivo.

A pesar de la importancia ya mencionada de actualizar los parches tan pronto como estén disponibles, muchos usuarios no lo hacen. Buena prueba de ello son los más de 100.000 sistemas que en pleno octubre aún eran vulnerables a la explotación de la vulnerabilidad SMBGhost. Desde ESET se recuerda que el aprovechamiento de esta vulnerabilidad podría permitir que actores maliciosos propagasen malware entre los equipos sin necesidad de la interacción del usuario.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Ingecom firma un acuerdo de distribución con Medigate
Actualidad
8 compartido991 visualizaciones
Actualidad
8 compartido991 visualizaciones

Ingecom firma un acuerdo de distribución con Medigate

Alicia Burrueco - 24 marzo, 2020

La compañía de origen israelí proporciona una solución dirigida a detectar y proteger dispositivos médicos conectados de fabricantes del entorno…

Nuevo récord mundial de tráfico: DE-CIX supera los 8 Terabits por segundo en Frankfurt
Actualidad
6 compartido1,272 visualizaciones
Actualidad
6 compartido1,272 visualizaciones

Nuevo récord mundial de tráfico: DE-CIX supera los 8 Terabits por segundo en Frankfurt

Alicia Burrueco - 17 diciembre, 2019

Por segunda vez este año, DE-CIX, operador de intercambio de internet alemán, ha alcanzado un nuevo récord mundial en su…

Por qué la tecnología Blockchain será más importante que nunca para la Sociedad de la Información de la “nueva normalidad”
Sin categoría
7 compartido1,370 visualizaciones
Sin categoría
7 compartido1,370 visualizaciones

Por qué la tecnología Blockchain será más importante que nunca para la Sociedad de la Información de la “nueva normalidad”

Aina Pou Rodríguez - 20 mayo, 2020

Inmutabilidad, descentralización, escalabilidad y seguridad de Blockchain, la única alternativa tecnológica capaz de ofrecer la confianza necesaria  Cada sociedad desarrolla…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.