Crecen el phishing bancario y las amenazas relacionadas con las criptomonedas

Recomendados:  7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

Mayo ha sido un mes especialmente activo en lo que a ataques de phishing y amenazas relacionadas con el mundo de las criptomonedas se refiere, los cuales se han hecho un hueco entre los troyanos bancarios que tanto han dado que hablar durante los últimos meses.

Durante las últimas semanas, el laboratorio de Eset ha analizado varios casos de phishing bancario que suplantaban la identidad de entidades grandes y pequeñas y que trataban de conseguir las credenciales de acceso o incluso los datos de la tarjeta de crédito de las víctimas, con el correo electrónico como vector de ataque utilizado a la hora de propagar este tipo de amenazas.

Por ejemplo, se ha detectado un phishing del Banco Santander en el que, a pesar de verse claramente que la URL proporcionada por los delincuentes en el correo no tenía nada que ver con esa entidad, la apariencia de la web fraudulenta podría engañar a más de un usuario para ceder los datos de acceso a su cuenta bancaria, además de los datos complementarios y códigos de verificación solicitados para realizar transferencias. Otra campaña de phishing tenía como objetivo a clientes de Cajamar, en la que los delincuentes volvieron a utilizar un correo para dirigir a las víctimas a una web fraudulenta similar a la auténtica pero cuya dirección web no tenía nada que ver.

El correo electrónico no es siempre el gancho inicial. Durante el mes pasado se detectaron mensajes SMS suplantando a CaixaBank que dirigían a los usuarios a una sencilla web donde se solicitaban las credenciales de acceso y el código de verificación enviado por SMS, una prueba más de que los delincuentes son conscientes de que los usuarios usan cada vez más sus dispositivos móviles para realizar todo tipo de operaciones.

Junto al phishing los troyanos bancarios dirigidos a usuarios de Android que utilizan mensajes SMS para propagarse siguen siendo una de las amenazas más activas en nuestro país. Durante mayo el laboratorio de Eset ha vuelto a ver cómo los supuestos avisos de llegada de paquetes de empresas de logística, como Correos y UPS, han seguido siendo el principal gancho para tratar de engañar a los usuarios para que pulsen sobre el enlace incluido en el SMS y descarguen la aplicación maliciosa, una técnica que han empleado varias familias de malware como FluBot, TeaBot y otras.

Los delincuentes también han suplantado a la empresa Barceló, dedicada al sector turístico, con un aviso para descargar una supuesta app relacionada con ella; o incluso a la misma Google, mediante una falsa alerta relacionada con una actualización del navegador Chrome.

El troyano bancario Mekotio volvió a ser el principal protagonista de este tipo de amenazas dirigidas a sistemas Windows. Mediante el envío de correos electrónicos con enlaces que dirigen a la descarga del malware consigue que no pocos usuarios se infecten y los delincuentes puedan robar sus credenciales de acceso a la banca online.

Los delincuentes han vuelto a reutilizar plantillas de correo ya vistas anteriormente como gancho. Una de las más populares es el correo que se hace pasar por un supuesto burofax online y que solicita su descarga. Los investigadores de ESET pudieron acceder al contador de descargas del malware preparado por los delincuentes y comprobar cómo cientos de usuarios españoles se descargaban esa amenaza en pocas horas. Otra de las plantillas de correo que los delincuentes están utilizando se hace pasar por una factura electrónica enviada desde una supuesta dirección de correo gubernamental.

En cuanto a las amenazas relacionadas con las criptomonedas, a pesar de la importante pérdida de valor que varias han experimentado durante el mes de mayo, los delincuentes han lanzado numerosas campañas para tratar de robarlas a sus legítimos poseedores. Una de las tácticas más observadas consiste en la publicación de apps fraudulentas que incluso llegan a ser distribuidas en repositorios oficiales como Google Play. También se intenta suplantar la instalación de otras aplicaciones e incluso drivers para Windows, redirigiendo a los usuarios a webs específicamente modificadas desde donde se descargan el malware.

Una campaña especialmente intensa en España fue la responsable de propagar el malware ClipBanker, que se caracteriza por quedar a la espera de que sus víctimas realicen transferencias de criptomonedas, modificando la dirección de la billetera a la que va dirigida cuando esta se encuentra almacenada en el portapapeles.