Algunas de las familias de malware que nos acompañan prácticamente cada mes desde hace algunos años en estos resúmenes han vuelto a aparecer durante las últimas semanas, aunque con algunas novedades. El troyano bancario Grandoreiro , por ejemplo, ha utilizado varias plantillas de correos para tratar de conseguir nuevas víctimas, algunas de ellas ya vistas anteriormente como la entrega pendiente de un paquete o una notificación judicial pero también han usado otras nuevas alertando de un intento de ejecución hipotecaria.
Pero si hay un tema que a los delincuentes les gusta reutilizar una y otra vez, este es el de las facturas. Han sido muchos los correos enviados con este asunto utilizando facturas genéricas, relacionadas con empresas eléctricas y comunicados de fallecimiento. Algunos han utilizado incluso usando un tono pasivo-agresivo para llamar la atención de los usuarios que reciben este tipo de correos.
Un punto importante relacionado con estas campañas es que estamos observando como otras familias de malware que, hasta el momento no habían dado el salto a este lado del charco, están empezando a aparecer cada vez con más frecuencia. Este es el caso del troyano bancario Ousaban e incluso de algunas muestras ampliamente basadas en el troyano bancario Grandoreiro pero que han evolucionado hasta tener su propia identidad.
Qbot, SmokeLoader y otros troyanos
Los troyanos bancarios con origen en Latinoamérica no han sido los únicos protagonistas del mes pasado ya que durante las últimas semanas se han detectado varias campañas protagonizadas por otras familias de malware. Algunas de las más destacadas tenían como protagonista a todo un veterano como es Qbot, que hace años era un troyano bancario más pero luego se reconvirtió en una amenaza usada por los ciberdelincuentes para conseguir el acceso inicial a las redes corporativas y desplegar allí otro tipo de malware y herramientas que les permitieran alcanzar sus objetivos.
De Qbot hemos analizado algunas campañas durante el mes de abril, campañas que volvían a usar el tema de las facturas como gancho para conseguir nuevas víctimas pero también otros asuntos como una supuesta letra de cancelación. Su cadena de infección suele incluir ficheros PDF que contienen enlaces a archivos preparados para ejecutar código ofuscado que inicia la descarga del malware en el sistema comprometido.
Además, durante el mes pasado, el sistema de inteligencia de amenazas de ESET detectó un pico bastante elevado en la detección del malware SmokeLoader, una amenaza veterana que actúa como descargador de otros códigos maliciosos. Este malware ha protagonizado numerosas campañas durante la última década y el notable incremento reciente en las detecciones demuestra que sigue a la orden del día evolucionando para seguir siendo efectivo.
La campaña de la Renta continúa siendo usada como gancho por los delincuentes
La Agencia Tributaria suele ser uno de los organismos oficiales más suplantados a lo largo del año y, durante la campaña de la Renta, los ciberdelincuentes intensifican sus campañas. Así lo hemos podido comprobar de nuevo durante abril al analizar correos que se hacían pasar por la Agencia Tributaria y que, en realidad pretendían que el usuario accediese a una web fraudulenta en la que robarle sus credenciales de acceso al email.
También se han observado campañas que utilizan mensajes SMS en lugar de correos electrónicos, mensajes que suplantando la identidad de este organismo oficial, adjuntan un enlace a una web donde, usando logotipos oficiales y un diseño bastante similar a la web legítima, se solicitan los datos correspondientes a la tarjeta de crédito para efectuar un supuesto reembolso pero que, en realidad, serán usados por los delincuentes para realizar compras a cargo de la víctima o sacar dinero de su cuenta.
Investigaciones de ESET publicadas durante el mes de Abril
Como cada mes, los investigadores de ESET ubicados en laboratorios de varias regiones publican los resultados de sus estudios recientes. En abril, nuestros compañeros de Latinoamérica han publicado un detallado artículo que analiza las recientes campañas llevadas a cabo por el malware Agent Tesla (que conocemos muy bien por su actividad en España durante los últimos años) en México y otros países de la región.
También se publicó un interesante artículo donde investigadores de ESET conseguían establecer una relación entre el grupo APT Lazarus, vinculado al gobierno de Corea del Norte, y el reciente ataque a la cadena de suministro de 3CX. Los indicadores de compromiso y muestras usadas en este ataque presentarían similitudes con otras campañas de este grupo como la conocida como Operación DreamJob.
Por último, también se descubrió una campaña que los investigadores de ESET han atribuido al grupo APT conocido como Evasive Panda y que estaba dirigida a organizaciones no gubernamentales internacionales que operan en China. Los atacantes habrían usado actualizaciones maliciosas para software legítimo que se habrían descargado desde IPs y URLs también legítimas.