En general, cuando en una charla o capacitación le preguntamos al público qué códigos maliciosos conocen y cuál consideran más peligroso, el primero en ser nombrado casi siempre es el Ransomware. Esto tiene sentido si pensamos que este código malicioso es de los que más llama la atención y lejos está de pasar desapercibido con sus carteles de rescate y bloqueos de pantalla.

Sin embargo, la gran mayoría de las amenazas informáticas son sigilosas y tratan de permanecer escondidas en el sistema mientras roban información, minan criptomonedas, utilizan los recursos del usuario o simplemente esperan comandos del C&C del atacante. Este es el caso del spyware, una variedad de malware sigiloso utilizado por un atacante para monitorear la computadora de una víctima sin su consentimiento. En este sentido, este tipo de amenaza está diseñada principalmente para la obtención remota de contraseñas y otra información sensible proveniente de los equipos de sus víctimas, y puede clasificarse en cuatro tipos diferentes: adware, monitores de sistema, cookies de rastreo y troyanos.

En los últimos 12 meses hemos detectado una gran cantidad de spyware en países de América Latina, principalmente en Brasil, México y Perú, seguidos un escalón más abajo por Argentina y Colombia. Si bien muchas de estas detecciones son de familias de spyware genéricas o que vemos propagarse por todo el mundo, otras se tratan de códigos maliciosos apuntados directamente a países de Latinoamérica.

 

Imagen 1: Distribución de spyware por país desde septiembre 2018 a septiembre 2019

Emotet: una amenaza que sigue vigente

El primero es el caso del troyano Emotet, un malware muy poderoso que venimos viendo en la región desde el 2015 y que detectamos bajo la firma Win32/Emotet. Este código malicioso, que ha ido evolucionando en los últimos años, tiene como objetivo principal el robo de credenciales bancarias y datos financieros, aunque ha incluido otras funcionalidades en sus últimas versiones, como propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.

Otra característica de Emotet es el uso de correos electrónicos e ingeniería social para su propagación, suplantando la identidad de reconocidas empresas y aprovechando también fechas de promociones especiales como Black Friday. En todos estos casos, el usuario recibe un correo con un archivo adjunto, el cual utiliza macros y código embebido en el documento para descargar luego el spyware desde un servidor de Internet. Si tenemos en cuenta que el macro malware se ha duplicado en los últimos años en México, no ha de sorprendernos que este sea el país con mayor cantidad de detecciones de Emotet en el último año. Luego, le siguen Ecuador, Colombia y Argentina en porcentajes similares.

 

Imagen 2: detecciones de Emotet por país desde septiembre 2018 a septiembre 2019

 

Si bien el mayor porcentaje de las detecciones de esta amenaza se dio hacia finales del 2018, recientemente se detectó una nueva ola de actividad por parte de Emotet utilizando nuevos métodos para ocultar sus macros en los documentos que llegan por correo. En países como Chile, el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) de este país alertó recientemente sobre una campaña reciente acerca de una campaña de phishing que intenta distribuir la amenaza. También se ha visto que otros países por fuera de la región de América Latina, como es el caso de España, están detectando una gran actividad del troyano en las últimas semanas.

 

Imagen 3: Evolución de las detecciones de Emotet en el último año

Mekotio: un troyano bancario que afecta principalmente a Chile

Por otro lado, tenemos otro troyano bancario conocido como Mekotio, el cual se concentra principalmente en Chile con más del 70% de las detecciones de la región, seguido por Brasil con el 24%.

 

Imagen 4: Detecciones de Mekotio por país desde septiembre 2018 a septiembre 2019

 

Este troyano espía se caracteriza por suplantar la identidad de compañías de servicios mediante correos que contienen un enlace para descargar una supuesta factura, que en realidad descarga un archivo .zip que contiene el troyano. Lo interesante de esta amenaza es que se encuentra totalmente dirigida a usuarios chilenos, ya que está geolocalizada y el enlace de descarga solo funciona desde direcciones IP de Chile.

Si bien la mayor actividad de esta amenaza la hemos detectado en agosto del año pasado, en los últimos meses de 2019 nos llamó la atención la reaparición de este código malicioso en nuevas campañas de ingeniería social a través de correos electrónicos, como fue por ejemplo la campaña reciente, nuevamente dirigida a usuarios de Chile, en la que se distribuía la amenaza a través de correos en los que se suplantaba la identidad de una conocida compañía de servicios.

 

Imagen 5: Evolución de las detecciones de Mekotio en el último año

 

Siguiendo con otras amenazas de similares características, encontramos Amavaldo, un código malicioso apuntado a robar credenciales bancarias y datos financieros de usuarios de Brasil y México. Para infectar a sus víctimas, Amavaldo utiliza un único downloader, el cual consiste en un archivo ejecutable de Windows que muchas veces simula ser el instalador de un software legítimo. Además, hace uso de técnicas de ingeniería social para lograr que la víctima lleve adelante una acción relacionada con su banco, como puede ser, por ejemplo, la verificación de los datos de una tarjeta de crédito. Además, monitorea las ventanas activas en el equipo de la víctima y en caso de que detecte una ventana relacionada con una entidad bancaria, el malware entra en acción desplegando una falsa ventana emergente que suplanta la identidad de dicha entidad bancaria para, por ejemplo, robar datos privados de la víctima.

Al igual que otros códigos espías, las últimas versiones de Amavaldo soportan funcionalidades como realizar capturas de pantalla, capturar fotos a través de la cámara web, keylogger, ejecución de código, etc.

 

Imagen 6: Detecciones de Amavaldo por país desde Enero 2019 a septiembre 2019

 

Esta amenaza relativamente nueva se popularizó a principio de este año y al día de hoy continuamos viendo una gran cantidad de detecciones de la misma en Brasil. A su vez, en los últimos meses la amenaza ha llegado a México y las detecciones en este país se encuentran en aumento.

 

Imagen 7: Evolución de las detecciones de Amavaldo en el último año

 

Si bien estas son algunas de las familias de códigos maliciosos espías más comunes que encontramos en Latinoamérica, la lista es mucho más extensa. Desde enero hasta agosto de 2019 llevamos detectadas más de 1970 variantes de spyware en países de la regiónpertenecientes a más de 35 familias diferentes de malware.

Por otro lado, más del 80% de las variantes de estos códigos maliciosos son desarrolladas para la plataforma Windows, lo cual tiene sentido si consideramos que los métodos de propagación más utilizados para este tipo de amenazas son los correos electrónicos y las aplicaciones pirata. Sin embargo, no debemos de perder de vista los dispositivos móviles, ya que también podemos encontrar spyware en estas plataformas, incluso en las tiendas oficiales.

 

Imagen 8: Variantes de spyware por plataforma desde enero a agosto de 2019

 

Por último, cabe destacar que si bien en años anteriores el ransomware era una de las principales preocupaciones de las empresas en materia de códigos maliciosos, según el ESET Security Report de este año, el 61% de las empresas en Latinoamérica manifestó que su mayor preocupación es el acceso indebido a sus sistemas. Sin embargo, esta no es su única inquietud y el podio lo completan el robo de información (58%) y la privacidad de la información (48%). En este sentido, es lógico entender que hoy en día el spyware y los códigos maliciosos orientados a robar información sean una de las mayores amenazas y preocupaciones de la región.

Desde ESET aprovechamos para recordarles la importancia de contar con herramientas integrales de seguridad, equipos y software actualizado y, por supuesto, capacitaciones constantes a los usuarios para evitar que sean víctimas de campañas engañosas.

Fuente: welilvesecurity.com

Compartir