Seguritecnia 487

Seguridad Integral más sensible o usar el ordenador de la víctima para todo tipo de acciones ma- liciosas. La popularidad de amenazas como Agent Tesla puede explicarse debido a que es un malware que se vende a un precio económico, proporciona funciona- lidades razonablemente avanzadas y los delincuentes que la utilizan han realizado campañas razonablemente avanzadas, usando direcciones de email de víctimas previamente comprometidas para enviar correos que pueden pasar por legítimos como gancho. Además, no debemos ol- vidar que hay otras herramientas malicio- sas de este tipo que se están ofreciendo a los delincuentes como servicio, como Nanocore, lo que facilita la entrada de nuevos delincuentes que no tienen por qué tener conocimientos avanzados para utilizar este tipo de malware . Troyanos bancarios Tal y como vimos en el último trimestre de 2020, los troyanos bancarios con origen en América Latina y dirigidos principalmente a países europeos (con España siendo uno de sus principales objetivos) continúan siendo una de las amenazas relacionadas con el robo de información más extendidas en nuestro país. Con sucesivas campañas protago- nizadas principalmente por el troyano bancario Mekotio, los delincuentes han seguido innovando sus amenazas, in- corporando nuevas características para tratar de evitar ser detectados y conse- guir así su objetivo. Además, otros países de nuestro entorno como Bélgica, Fran- cia, Italia o Portugal también han visto como se ha incrementado la detección de este tipo de amenazas. Otro tipo de malware que hemos vis- to actuar durante los primeros meses de 2021 ha sido el relacionado con el robo de criptomonedas y, más concreta- mente, aquel destinado a modificar las direcciones de las billeteras cuando sus víctimas las copian en el cortapapeles. De esta forma sencilla pero eficaz y gra- cias al aumento del valor de las cripto- monedas experimentado desde finales de 2020, los delincuentes han consegui- do hacerse con una cantidad de dinero nada despreciable, también en España, donde se han observado algunos picos destacables en la detección de amena- zas como MSIL/ClipBanker. El retorno de TrickBot Por su parte, Trickbot, que sufrió un im- portante golpe a su infraestructura el pasado octubre de 2020, parece ha- berse recuperado totalmente. En enero se empezaron a observar nuevas cam- pañas de phishing dirigidas a sectores específicos, mientras que en febrero se detectó que esta amenaza contaba con un nuevo módulo especializado en el reconocimiento de redes. Esa nueva funcionalidad parece estar detrás de varios casos en los que los delincuentes habrían usado Trickbot como amenaza para comprometer redes corporativas, robar información confidencial y, poste- riormente, cifrarla con un ransomware . Aun con este resurgimiento, Trickbot no ha podido desbancar a Qbot, que ha tomado el relevo de Emotet tras su disrupción en una operación global el pasado mes de enero. Qbot también ha demostrado ser muy adaptable y actual- mente podemos ver que se propaga por medios tales como campañas de spam con ficheros ofimáticos adjuntos que uti- lizan macros maliciosas. Los delincuen- tes detrás de su desarrollo también pare- cen haber mejorado sustancialmente su configuración interna para hacerlo más eficaz y dificultar su detección. Conclusión Con España en segunda posición (se- gún la telemetría de Eset) con respecto al número de detecciones de amenazas relacionadas con el robo de información (solo por detrás de Turquía y por delan- te de Japón), resulta indispensable que adoptemos las medidas necesarias para prevenir este tipo de ataques, incorpo- rando medidas de detección eficaces a la vez que concienciamos a los usuarios que puedan ser objetivos de los delin- cuentes para que aprendan a reconocer estas amenazas. / Junio 2021 35