España se situa en el punto de mira de la ciberdelincuencia. Y es que, Septiembre ha sido un mes duro para muchos usuarios, no sólo por haber vuelto a la rutina laboral o escolar, sino también por los varios incidentes de seguridad que han afectado a la privacidad de millones de cuentas registradas en varios servicios online y por las numerosas infecciones de malware que hemos analizado durante las últimas semanas.
España en el punto de mira del malware
Las campañas de malware dirigidas a países específicos ya se han convertido en algo habitual y si bien para los delincuentes es más sencillo enviar millones de correos sin personalizar confiando en que algún incauto pique, aquellos emails que están bien traducidos e incorporan algún elemento que sirva para ganarse la confianza de la víctima siempre tienen mayores porcentajes de éxito.
España en el punto de mira: Durante septiembre se dieron varios ejemplos de campañas de propagación de malware que tenían a España como objetivo principal
Durante septiembre vimos varios ejemplos de campañas de propagación de malware que tenían a España como objetivo principal. Las más representativas de las analizadas en el laboratorio de ESET fueron las de los troyanos Bayrob y Bebloh; ambas utilizaban ficheros adjuntos maliciosos y correos en español para intentar engañar a los usuarios.
El troyano Bayrob utilizó correos en español que tenían como asunto la inclusión de un supuesto folleto en el fichero adjunto. Sin embargo, si el usuario caía en la trampa y ejecutaba el fichero, este malware se encargaba de abrir una puerta trasera en el sistema para permitir a un atacante acceder cuando quisiera para controlarlo remotamente u obtener información confidencial. Con los datos de telemetría obtenidos gracias al sistema Live Grid de ESET pudimos comprobar también cómo los atacantes pusieron su punto de mira en España y fue en nuestro país donde se observó un mayor número de detecciones. También afectó en menor medida a otros países de Latinoamérica, algo comprensible, dado el idioma utilizado.
Por otro lado, los delincuentes también usaron de forma fraudulenta el nombre de la empresa de telecomunicaciones Vodafone para propagar un correo electrónico malicioso. Cuando el usuario abría lo que supuestamente era una factura electrónica de la compañía, se encontraba un ejecutable que contenía el troyano Bebloh. Este troyano recopila información confidencial cada vez que se ejecutan programas tales como clientes de correo, navegadores de Internet o clientes FTP, además de otra información confidencial como credenciales de acceso a varios servicios online.
El ransomware continúa presente
Si hay un malware que ha estado presente en prácticamente todos los resúmenes de amenazas de los últimos meses, éste es sin duda el ransomware. Las amenazas que cifran los ficheros o directamente el disco entero y luego piden un rescate se han multiplicado hasta alcanzar cifras muy elevadas y copar los primeros puestos de los rankings de amenazas.
A principios de septiembre observamos un pico en las detecciones de Nemucod, un malware asociado con la descarga de numerosas variantes de ransomware. Este pico de detecciones venía asociado a una campaña de propagación de emails que utilizaban de nuevo la plantilla de Correos de España para engañar a los usuarios y que descargaba el troyano Torrentlocker.
Sin embargo, a diferencia de versiones anteriores, donde había un paso intermedio entre que el usuario hacía clic en el enlace proporcionado y la descarga del malware donde se pedía un código de verificación, en esta nueva versión se procedía a la descarga del malware directamente tras pulsar en el enlace.