Acabamos de dejar atrás un mes de mayo en el que hemos visto cómo los casos de phishing y las amenazas relacionadas con el mundo de las criptomonedas se han hecho un hueco entre los troyanos bancarios que tanto han dado que hablar durante los últimos meses.
A pesar de ser una amenaza veterana y a la que seguramente casi todos los usuarios se han enfrentado alguna vez, el phishing, o suplantación de identidad, sigue estando a la orden del día. Durante las últimas semanas el laboratorio de ESET, empresa de ciberseguridad presente en toda la Unión Europea, ha analizado varios casos de phishing bancario que suplantaban la identidad de entidades grandes y pequeñas y que trataban de conseguir las credenciales de acceso o incluso los datos de la tarjeta de crédito de las víctimas.
El correo electrónico sigue siendo el vector de ataque preferido por los delincuentes a la hora de propagar este tipo de amenazas. Así lo hemos podido comprobar, por ejemplo, con un phishing del Banco Santander en el que, a pesar de verse claramente que la URL proporcionada por los delincuentes en el correo no tenía nada que ver con esa entidad, la apariencia de la web fraudulenta podría engañar a más de un usuario para ceder los datos de acceso a su cuenta bancaria, además de los datos complementarios y códigos de verificación solicitados para realizar transferencias.
Pero los delincuentes no solo se centran en grandes entidades bancarias con millones de clientes en todo el mundo, sino que también realizan campañas dirigidas a usuarios de bancos más modestos como Cajamar. En una campaña de phishing analizada a finales de mes y que tenía como objetivo a clientes de esta entidad, los delincuentes volvieron a utilizar un correo para dirigir a las víctimas a una web fraudulenta similar a la auténtica pero cuya dirección web no tenía nada que ver.
El correo electrónico no es siempre el gancho inicial: durante el mes pasado vimos cómo también se enviaban mensajes SMS suplantando a CaixaBank que dirigían a los usuarios a una sencilla web donde se solicitaban las credenciales de acceso y el código de verificación enviado por SMS, una prueba más de que los delincuentes son conscientes de que los usuarios usan cada vez más sus dispositivos móviles para realizar todo tipo de operaciones.
Índice de temas
Mensajes SMS con troyanos para Android
Tal y como venimos observando desde inicios de año, los troyanos bancarios dirigidos a usuarios de Android que utilizan mensajes SMS para propagarse siguen siendo una de las amenazas más activas en nuestro país si nos centramos en los dispositivos móviles. Durante mayo el laboratorio de ESET ha vuelto a ver cómo los supuestos avisos de llegada de paquetes han seguido siendo el principal gancho para tratar de engañar a los usuarios para que pulsen sobre el enlace incluido en el SMS y descarguen la aplicación maliciosa. Los delincuentes han suplantado la identidad de empresas de logística como Correos, UPS y otras para tratar de ganarse la confianza de sus víctimas, una técnica que han empleado varias familias de malware como FluBot, TeaBot y otras.
Sin embargo, esta no ha sido la única táctica que se ha empleado, ya que los delincuentes también han suplantado a la empresa Barceló, dedicada al sector turístico, con un aviso para descargar una supuesta app relacionada con ella; o incluso a la misma Google, mediante una falsa alerta relacionada con una supuesta actualización del navegador Chrome.
Mekotio sigue siendo una importante amenaza en España
El troyano bancario Mekotio, que ya lleva más de un año teniendo a usuarios españoles entre sus principales objetivos, volvió a ser el principal protagonista de este tipo de amenazas dirigidas a sistemas Windows. Mediante el envío de correos electrónicos con enlaces que dirigen a la descarga del malware consigue que no pocos usuarios se infecten y los delincuentes puedan robar sus credenciales de acceso a la banca online.
Durante el mes de mayo hemos visto cómo los delincuentes han vuelto a reutilizar plantillas de correo ya vistas anteriormente como gancho. Una de las más populares es el correo que se hace pasar por un supuesto burofax online y que solicita su descarga. En uno de los casos analizados los investigadores de ESET pudieron acceder al contador de descargas del malware preparado por los delincuentes y comprobar cómo cientos de usuarios españoles se descargaban esa amenaza en pocas horas.
Otra de las plantillas de correo que los delincuentes están utilizando se hace pasar por una factura electrónica enviada desde una supuesta dirección de correo gubernamental. A pesar de su aparente legitimidad, la finalidad sigue siendo engañar al usuario que recibe este email para que pulse sobre el enlace proporcionado y descargue un fichero comprimido con el malware.
Aumentan los robos y estafas relacionadas con las criptomonedas
A pesar de la importante pérdida de valor que varias criptomonedas han experimentado durante el mes de mayo, los delincuentes han lanzado numerosas campañas para tratar de robarlas a sus legítimos poseedores.
Una de las tácticas más observadas consiste en la publicación de aplicaciones móviles fraudulentas que incluso llegan a ser distribuidas en repositorios oficiales como Google Play. También se intenta suplantar la instalación de otras aplicaciones e incluso drivers para Windows, redirigiendo a los usuarios a webs específicamente modificadas desde donde se descargan el malware.
Además, a finales de mes analizamos una campaña especialmente intensa en España responsable de propagar el malware ClipBanker. Este malware se caracteriza por quedar a la espera de que sus víctimas realicen transferencias de criptomonedas, modificando la dirección de la billetera a la que va dirigida cuando esta se encuentra almacenada en el portapapeles.
Por último, el laboratorio de ESET destaca la detención de varias personas por parte de Europol debido a su pertenencia a una red criminal y su responsabilidad en una red de estafa internacional consistente en inversiones relacionadas con criptomonedas. Se estima que estos delincuentes habrían conseguido estafar alrededor de 30 millones de euros a usuarios de toda Europa y, solo en España, se habrían registrado un total de 300 denuncias relacionadas con esta estafa.